domingo, 1 de diciembre de 2013

Aplicación TEF-Exposición

INTRODUCCIÓN

Desde que el hombre se dio cuenta de que el comercio de bienes y servicios es la mejor forma de satisfacer sus múltiples necesidades, esta actividad comenzó a tomar creciente importancia para el desarrollo de la humanidad. En principio, de manera local y posteriormente extendiéndose a otras regiones.

Actualmente, la globalización influye en la transformación de las relaciones sociales y por lo tanto en las relaciones económicas de las naciones, propiciando la modernización de los servicios financieros y de los sistemas de pagos, los cuales deben adecuarse constantemente a las nuevas circunstancias, para poder seguir alcanzando los objetivos para los que fueron creados. De esta forma, los servicios financieros y los sistemas de pagos se han vuelto indispensables para el desarrollo económico de los países, ya que actúan como herramientas de apoyo, para las actividades productivas y comerciales.

El propósito de la presente investigación es destacar lo más relevante de una de las aplicaciones que hasta ahora es una de las más utilizadas en el marco financiero en la mayoría de los países, a esta aplicación que se le llama por sus siglas en inglés EFT (Electronic Funds Transfer), en español  “Transferencia Electrónica de Fondos” que desde los años setenta a través de redes privadas de las instituciones financieras expandió el uso de las tecnologías para propósitos comerciales, especialmente la de pagos con tarjeta, en donde, su concepto engloba a cualquier sistema que permite transferir dinero desde una cuenta bancaria a otra cuenta directamente sin ningún intercambio de dinero en metálico.

Así mismo se describe el funcionamiento de este tipo de transferencia, así como sus ventajas y desventajas que presentan en cada una de las partes involucradas en el movimiento generado por la aplicación. Se podrá ver el tema a nivel un tanto técnico, que va desde conocer los tipos de protocolos utilizados hasta el tipo de seguridad que utiliza la transferencia.

TRANSFERENCIA ELECTRÓNICA DE FONDOS (TEF)

El concepto de TEF engloba a cualquier sistema que permite transferir dinero desde una cuenta bancaria a otra cuenta directamente sin ningún intercambio de dinero físicamente, por ejemplo el pago con tarjeta, el pago a través de teléfono móvil o la banca electrónica a través de internet.

Los beneficios de los sistemas TEF son: reducción de los costes administrativos, aumento de la eficiencia, simplificación de la contabilidad, una mayor seguridad, entre otros.

Los primeros sistemas TEF aparecieron en Estados Unidos a mediados de los años setenta y su uso se difundió a mediados y finales de los ochenta. Su aceptación fue mayor en algunos sectores y países que en otros, sobre todo en gasolineras de Estados Unidos, Suiza, Australia y Francia, y en algunos supermercados de Australia a finales de los ochenta y durante esa década también en España. Esta lenta implantación de soluciones de TEF a nivel mundial fue debido a que no sólo están implicados la entidad financiera y el cliente, también están involucradas terceras partes como los proveedores de los servicios de las redes TCP/IP y de las redes X.25, por lo que es una solución compleja y cuya difusión ha sido poco a poco.

También entra en juego la actitud positiva del cliente respecto al uso de las tarjetas y la tecnología relacionada con la transferencia electrónica de fondos, la cual va en aumento día tras día.

EL PAGO CON TARJETA


Uno de los sistemas de TEF más utilizados es el de pago con tarjeta, en dicho sistema cuando el cliente de un establecimiento realiza el abono de su compra con tarjeta se utiliza una Terminal conectada a una entidad autorizadora de la transacción, la cual carga al cliente dicha operación directamente en su cuenta bancaria (si es una tarjeta de débito) o en el crédito asociado a la tarjeta (si es una tarjeta de crédito). Este sistema se conoce en inglés como Electronic Funds Transfer at Point Of Sale (EFTPOS), aunque en España al ser el sistema de Transferencia Electrónica de Fondos más utilizado se conoce simplemente como TEF.

La conexión con las entidades puede realizarse a través de datáfonos, los cuales son terminales que utilizan la línea telefónica (RTB) para realizar una llamada a la entidad para realizar el cargo, o bien a través de soluciones de TEF más completas, las cuales permiten el pago con tarjeta desde cualquier Terminal Punto de Venta (TPV), o en inglés "Point Of Sale" (POS), que esté conectado a un servidor de TEF el cual tiene conexión directa con las entidades autorizadoras a través de redes WAN, mediante el protocolo X.25 (capas física, enlace y red del modelo OSI).

PRINCIPALES VENTAJAS DE LA TEF


  • Rapidez de cobro frente a los datáfonos.
  • Seguimiento de las operaciones on-line.
  • Se puede escoger las entidades autorizadoras que más interesen para cada comercio, pudiendo negociar mejor las comisiones.
  • Reducción de los costes de las comunicaciones.
  • Mayor seguridad y confidencialidad de la información.
  • Automatización de tareas administrativas y de mantenimiento del sistema.
  • Unificación de la operativa de pago con tarjeta en todos los centros.
  • Posibilidad de explotación de datos estadísticos.
  • Facilidad de uso: Solo es necesario pasar la tarjeta por el lector y esperar la autorización del banco en un instante, no es necesario manipular varios datáfonos ni esperar mucho tiempo para terminar la operación.
  • Posibilidad de ajustar el sistema rápida y fácilmente: El sistema se puede configurar rápidamente para que se ajuste a las necesidades de cada comercio (tipo de tarjetas, etc.).

DESVENTAJAS DE LA TEF PARA LAS PARTES IMPLICADAS

Cliente
  • Costes de mantenimiento en algunos tipos de tarjeta.
Comercio
  • Inversión en hardware y software.
  • Coste del mantenimiento del sistema y de las comunicaciones.
  • Formación del personal.
  • Costes de divulgación del uso del pago con tarjeta.
Entidades autorizadoras
  • Coste de hardware y software.
  • Coste del mantenimiento del sistema y de las comunicaciones.
  • Costes de divulgación del uso del pago con tarjeta.

COMPONENTES DE LA SOLUCIÓN TEF

Una solución de pago con tarjeta mediante servidores TEF comprende:
  • Software de TEF (tanto del TPV como del Servidor TEF).
  • Hosting del Servidor TEF.
  • Red privada virtual para conexiones TCP/IP (TVP-Servidor TEF).
  • Conexión X.25 con entidades autorizadoras.

Para permitir el pago con tarjeta, el TPV debe estar equipado con un lector de tarjetas (lector de bandas magnéticas), el cual puede estar integrado en el teclado y opcionalmente con un Pin-Pad si es necesario para aceptar las tarjetas. El TPV debe tener conexión mediante red TCP/IP con el servidor de TEF. En algunos países es necesario tener un dispositivo para poder almacenar las operaciones de TEF del TPV para poder auditarlas.

El servidor de TEF debe tener conexión mediante red TCP/IP con los TPV del comercio que quiera utilizar el pago con tarjeta, también tendrá que disponer de conexión de red X.25 con las diferentes entidades autorizadoras. Y se necesitan conexión a una impresora especializada para poder imprimir los informes necesarios.

Algunos proveedores de soluciones TEF proporcionan una solución en la que se puede utilizar dos servidores de TEF, para aumentar principalmente la fiabilidad; cuando uno de los dos servidores no pueda por alguna razón atender peticiones, el otro las procesará,
permitiendo incluso el balanceo de carga entre los dos servidores de TEF ,estando en todo
momento sincronizados y dando así un mejor servicio.

SECUENCIA DE UN PAGO CON TARJETA

La secuencia para realizar una transferencia electrónica de fondos completa y correcta si el cliente ha decidido pagar con tarjeta, es:

  1. La tarjeta del cliente es pasada por el lector de tarjetas que incorpora el TPV.
  2. Se lee la información necesaria de las pistas de la banda magnética de la tarjeta: número de tarjeta, fecha de caducidad, etc. Si el sistema y el tipo de tarjeta requiere de PIN (Personal Identification Number) este debe ser introducido por el cliente a través de un Pin-Pad (teclado numérico) para validar el PIN.
  3. Los datos de la tarjeta junto con la identificación del comercio (merchant), el importe total y otros datos necesarios son mandados al servidor de TEF a través de la red TCP/IP.
  4. El servidor de TEF envía una petición de autorización al ordenador de la entidad autorizadora a través de la red X.25.
  5. La autorización y el código de autorización son generados si la entidad contesta afirmativamente a la petición (la tarjeta es válida y el cliente tiene suficientes fondos en la cuenta para la compra).
  6. El servidor de TEF almacena toda la información relativa a la transacción y envía un mensaje con el resultado al TPV.
  7. Si la petición ha sido autorizada el TPV imprime un ticket (boleta o recibo) para ser firmado por el cliente.
  8. La transacción se ha completado y se le da al cliente un ticket con los detalles de la transacción como comprobante de la compra. En el ticket aparecerá entre otros datos: la fecha y hora de la transacción, el nombre e identificador del comercio (merchant), el tipo de transacción, el importe total, el número y fecha de caducidad de la tarjeta, la localización del la terminal que realiza la operación y el número identificador de la transacción de TEF correspondiente.

EL CLIENTE FRENTE A TEF

Dentro de los diferentes usuarios de los sistemas TEF se podrían distinguir de las siguientes
tipos:
  • El cliente que está al día en el uso de los sistemas de pago con tarjeta:
    • Quiere simplicidad, rapidez y seguridad en el pago con tarjeta. Conoce bien las ventajas del pago con tarjeta.
    • Esta preparado para tomar parte en el proceso del pago e incluso introduciendo el PIN.
    • Quiere poder hacer compras por un importe superior al límite de su cuenta (crédito, pago aplazado, etc.).

  • El cliente que es cuidadoso respecto a las operaciones que realiza:
    • Quiere poder acceder en cualquier momento a los movimientos de su cuenta.
    • Quiere recibir un recibo o ticket de su compra legible y comprensible de acuerdo a su compra.

  • El cliente que pide flexibilidad en las operaciones:
    • Quiere elegir su propia modalidad de pago (débito, crédito, pago aplazado, etc.)
    • Quiere poder ocasionalmente anular la operación y poder cambiar la modalidad de pago.
  • El cliente que quiere sacar el mayor provecho posible a sus operaciones financieras:
    • Sabe que las transferencias de crédito mantienen su dinero en su cuenta bancaria más tiempo y puede tener mayores ventajas.
    • Quiere beneficiarse de comprar con tarjeta de crédito sin pagar ningún cargo extra.

EL COMERCIO Y LAS ENTIDADES AUTORIZADORAS FRENTE AL TEF

En el momento se realizar el pago con tarjeta mediante el sistema de TEF a través del TPV existe una estrategia del comercio que es en la mayoría de los casos la de aprovechar el momento en el que se está imprimiendo el ticket con los totales para realizar la lectura de la tarjeta, que en algunos casos esta puede ser incluso realizada por el mismo cliente (en algunos países es habitual esta práctica), en cuyo caso el lector de tarjetas (y el Pin-Pad si es necesario) es colocado al alcance del cliente.  Por su parte las entidades autorizadoras deben realizar la validación de la operación y más tarde realizar las operaciones financieras correspondientes a la transacción.  El proceso sería el siguiente:

El comerciante:
  • Guía el proceso de pago.
  • Introduce los detalles del pago.
  • Saca el ticket (o boleta) del pago con tarjeta.
  • Facilita el ticket al cliente.

La entidad autorizadora:
  • Verifica la validez de la tarjeta.
  • Verifica la identidad del Terminal.
  • Verifica el PIN.
  • Valida la cuenta y el saldo del cliente.
  • Cobra al cliente.
  • Paga al comercio.
  • Proporciona informes periódicos de movimientos de su cuenta al cliente.
  • Proceso de validación de la transacción

PROCESO DE VALIDACIÓN DE LA TRANSACCIÓN

Las operaciones de verificación necesarias son:

  • Validación de la tarjeta que se realizan en el TPV y/o en el servidor de TEF, o bien ya en la entidad autorizadora.
  • Que el número de tarjeta cumpla el algoritmo de Luhn (algoritmo matemático que deben cumplir todos los números de tarjeta).
  • Fecha de caducidad. La tarjeta puede incluso no ser válida por ser su emisión muy reciente y no ser todavía válida para su uso (en cuyo caso no será aceptada por la entidad).
  • Comprobación de no pertenencia a Listas negras (las listas negras únicamente almacenan los números de tarjetas de tarjetas extraviadas, robadas o inválidas por algún otro motivo y permiten denegar la operación antes incluso de enviar la petición a la entidad autorizadora.
  • Dichas listas negras se actualizan con cierta periodicidad (por ejemplo una vez al día).
  • Comprobación de que el PIN es correcto para esa tarjeta. Si el PIN es necesario solo se permitirá un número limitado de errores en su introducción, normalmente dos y al tercer error la tarjeta no se aceptará.
  • Verificación de la cuenta asociada a la tarjeta: que es correcta y que dispone de los fondos necesarios para realizar la operación. Hay que tener en cuenta que la relación entre las tarjetas y las cuentas no es de 1 a 1 pero lo habitual es que si sea así.  

PROTOCOLOS UTILIZADOS
Se distinguen dos tipos de protocolos de intercambio de mensajes: los utilizados para el intercambio de información entre el TPV y el servidor de TEF, y los utilizados entre el servidor de TEF y las entidades autorizadoras.

  1. Entre el TPV y los servidores de TEF, esta se realiza mediante un protocolo fijado por el proveedor de la solución TEF, por lo que actualmente no existe ningún protocolo estándar de comunicación entre los TPVs y los servidores de TEF, aunque Wincor-Nixdorf ha empezado a trabajar en una solución llamada "Open Payment Initiative" (O.P.I.) para intentar unificar las peculiaridades las diferentes aplicaciones y de cada país en la comunicación entre los TPV y los servidores de TEF.

  1. Entre los servidores de TEF y las entidades autorizadoras para realizar la comunicación (intercambio de mensajes de las transacciones: ventas, devoluciones, anulaciones, totales, etc.) a lo largo de los años se han utilizado varios protocolos, de todos ellos más difundido actualmente es el PRICE (Protocolo de Intercambio y Compensación Español).  El PRICE está basado en las en el estándar ISO 8583 del Organismo Internacional de Estandarización (I.S.O.). El Host de la entidad autorizadora que recibe la petición del sistema TEF hace de intermediario entre las Entidades Financieras que intervienen en la transacción y centraliza el intercambio de información entre las dos partes.El protocolo PRICE permite la conexión de comercios con un gran volumen de operaciones, existen dos tipos el PRICE Establecimientos y el PRICE Multicomercios.

SEGURIDAD EN LAS TRANSACCIONES

La manera más habitual de asegurar la transacción es identificando al propietario de la
tarjeta en pidiendo junto con la tarjeta el Documento Nacional de Identidad y comprobando
su firma, otro método muy poco utilizado actualmente es pidiéndole al cliente que introduzca el código PIN de la tarjeta, el cual sólo es conocido por el propietario de la tarjeta. Debido a la proliferación de delitos relacionados con la copia y uso de la tarjeta de clientes por todo el mundo se ha intentado aumentar la seguridad del elemento clave en una transferencia electrónica de fondos: la tarjeta. Europay, Mastercard y Visa han creado un modelo estándar de tarjeta que incorpora un chip en el cual se puede introducir muchísima mas información que en una banda magnética (la cual no se suprime), dicho chip es mucho mas difícil de duplicar.

Durante los periodos en los que el sistema no permite autorizaciones on-line (por ejemplo por caída de la línea con las entidades autorizadoras) en algunos casos se acepta el pago con tarjeta mediante comprobante en papel de la transacción. También existe la posibilidad de aceptar durante los periodos de no disponibilidad del servicio la transacción sin intervención de la entidad si no se tiene conexión con la misma y autorizar "off-line" operaciones que no superen un importe fijado para esos casos, en estos casos se corre el riesgo de aceptar operaciones que deberían ser denegadas.

Como hemos visto anteriormente para evitar el fraude del pago con tarjeta, sobre todo
cuando la operación se tiene que realizar “off-line”, también se utilizan las llamadas “listas negras” las cuales son ficheros donde se recogen números de tarjetas que no deben ser autorizados para realizar una transacción, bien porque han sido robadas o porque el cliente la ha extraviado. Dichos ficheros se deben actualizar regularmente para que sean útiles y así poder evitar que se acepte una tarjeta no válida en una operación “off-line”.  Para asegurar la privacidad de la información del cliente, es recomendable que durante la transacción no se muestre ningún detalle sobre la misma que no sea esencial para completar la misma, por lo que no se deberían mostrar datos personales en el TPV y no se debería imprimir la totalidad del número de tarjeta y fecha de caducidad para evitar el uso del mismo por otras personas (por lo que se suelen eliminar los últimos dígitos de la tarjeta al imprimir el ticket). Tampoco se deben almacenar en el sistema ningún dato que no sea esencial para poder hacer en el futuro una auditoría de los mismos, ni hacer uso comercial ni publicitario de los mismos sin el consentimiento del cliente. En algunos países algunos comercios incluso han instalado terminales a la salida del establecimiento para que el cliente pueda comprobar los últimos movimientos de su cuenta bancaria y poder ver al momento la operación de transferencia electrónica de fondos realizada anteriormente.

Desde el punto de vista de la disponibilidad del servicio, el servidor de TEF suele disponer de sistemas de alimentación ininterrumpida (SAI) o en inglés Uninterruptible Power Supply
(UPS) que permite que ninguna transferencia quede sin completarse en su totalidad.

TARJETAS EMV

En 1994 Europay, Mastercard y Visa decidieron unir sus esfuerzos para combatir el fraude en el pago con tarjeta y mejorar sus prestaciones, y así publicaron en 1996, una serie de estándares de seguridad e interoperabilidad para las tarjetas llamado EMV (acrónimo de Europay, Mastercard y Visa). EMV por tanto se trata de una especificación para sistemas de pago. El objetivo de EMV es especificar los requerimientos para la interoperabilidad entre tarjetas de crédito/débito y entre los terminales que soportan dichas tarjetas.

La razón principal para migrar las tarjetas a EMV es la de combatir el fraude, ya que las
actuales tarjetas de banda magnética son relativamente fáciles de copiar, y el fraude con tarjetas de crédito va en aumento año tras año.

VENTAJAS

  • Validación del PIN con o sin conexión con el banco.
  • Marca de la operación en la tarjeta.
  • Sin posibilidad de copia directa de la tarjeta.
  • Capacidad de soportar una variedad de servicios en una única tarjeta, y de almacenar mucha más información incluidas las claves criptográficas requeridas para las transacciones seguras, utilizando Public Key Infrastructure (PKI).
  • Servicio más rápido al poder validar si es necesario la operación “off-line”, sólo con la tarjeta, sin necesidad de conexión a una entidad autorizadora, ahorrando costes de conexión al comercio y a las entidades

La organización EMVCo se ocupa de distribuir las especificaciones y de actuar como autoridad certificadora de compatibilidad. La seguridad es un aspecto muy importante de las especificaciones, evitando la posibilidad de fraude, y la tarjeta pasa de ser un soporte pasivo a un soporte activo, realizando operaciones durante la transacción. EL EMVCo fija unos procesos de validación de cualquier Terminal que quiera cumplir las especificaciones EMV, esta validación se divide en dos niveles:

  • Nivel 1: Engloba el proceso mecánico y eléctrico de lectura del chip, así como el driver del dispositivo lector.
  • Nivel 2: Se valida el software que permite la transacción completa entre la tarjeta EMV y el TPV.

Las tarjetas que cumplen el estándar EMV tienen cuatro capas de aplicación. La capa más
baja es el microprocesador (el chip que puede ser de 16K o de 32K), la segunda es el sistema operativo, la tercera es la aplicación de EMV que además de cumplir las especificaciones del pago con tarjeta puede incluir otras funcionalidades extra para el usuario, y la última capa incluye las claves criptográficas y los datos del usuario.

CONCLUSIÓN

En la actualidad la importancia de la seguridad entre comunicaciones va en aumento, esto se debe a que la globalización nos ha llevado a interactuar más con personas del todo el mundo, es esta misma razón la que nos permite realizar hoy en día transacciones económicas electrónicas haciendo uso del pago con tarjeta, terminales punto de venta y entidades autorizadoras, las cuales en conjunto realizan diferentes acciones en una fracción de tiempo casi imperceptible, realizando de una manera eficaz y segura la transferencia desde la cuenta bancaria del cliente a la del comerciante.
Las ventajas que respaldan al uso de TEF están bien sustentadas ya se proporciona seguridad y confidencialidad a los actores interesados en la transferencia (el cliente, el comerciante y las entidades bancarias) y es fácil de usar e implementar en las organizaciones que no cuentan con él. Por otro lado identificamos como principal desventaja el costo un tanto elevado del software y hardware necesario para realizar las transferencias También mediante esta investigación pudimos conocer a fondo el conjunto de acciones que se llevan a cabo, entendiendo el proceso paso a paso para poder completar y validar una transferencia. Además identificamos los diferentes protocolos que se deben de seguir y entre qué actores se realiza.



De igual manera podemos concluir que un componente esencial del pago con tarjeta son las transacciones, razón por la cual la seguridad que hay en estas es de vital importancia para evitar el fraude, debido a esto han surgido a través de la historia nuevos mecanismos que nos ayuden a hacer más seguras las transacciones, tal es el caso de la tarjeta EMV la cual nos brinda niveles de seguridad orientados tanto a hardware como software y que propiamente se han ido adoptando poco a poco por aquellas entidades que proporcionan servicio de Transferencia Electrónica de Fondos.
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)