Caja Duero asegura sus transacciones con Realsec
La tecnología de Realsec, desarrollador español de sistemas de cifrado y firma digital, ha sido la encargada de asegurar las transacciones y medios depago de Caja Duero. La entidad financiera asimismo ha finalizado dos proyectos en colaboración con Realsec, por un lado el proyecto Esfera (de Euro 6000) y por otro la emisión de nuevas tarjetas criptográficas EMV con la tecnología H3P.
El proyecto Esfera cumple dos objetivos básicos: por un lado el desarrollo de un firmware sobre Módulos de Seguridad Hardware (HSM) Cryptosec, la tecnología de cirfrado de Realsec, para mejorar la seguridad, autenticidad y confidencialidad de las transacciones. Por otro, dar respuesta a nuevos requerimientos de seguridad surgidos como consecuencia de la aparición de nuevos estándares financieros (EMV), requisitos de seguridad de los Sistemas Internacionales (securización del PIN) e, incluso, nuevos servicios ofrecidos por las entidades financieras como Mobipay, Tarjeta ‘vía T’, entre otros.
Esfera es un Proyecto de colaboración entre 7 Cajas Euro6000, entre las que se encuentra Caja Duero, liderado por la propia Euro 6000, y al cual CECA aporta soporte técnico basado en Cryptosec de Realsec, tanto hardware como firmware.
El impulso para el inicio de todo el proyecto parte de la normativa EMV que, en lo que se refiere a la autorización de transacciones, obliga a tener que realizar un mayor número de cálculos criptográficos en online, por lo que para poder mantener los tiempos de respuesta, era necesario disponer de equipos HSM más rápidos y con un firmware fácilmente adaptable a futuros requisitos de seguridad.
De este modo, entre los objetivos que Caja Duero perseguía con su adhesión al Proyecto Esfera, además de ajustarse a los nuevos estándares de seguridad EMV, eran el poder ampliar las funcionalidades criptográficas de las que ya disponía en sus antiguos equipos HSM, para mejorar la seguridad y gestión de claves.
Por otro lado, Caja Duero también ha llevado adelante otro proyecto de emisión de nuevas tarjetas basado en H3P de Realsec. Actualmente Caja Duero tiene emitidas alrededor de 451.000 tarjetas de crédito y 180.000 tarjetas de débito.
El objetivo de este proyecto en la Caja ha sido la generación de soportes para la personalización de tarjetas EMV. La Caja, desde sus aplicativos de host habituales, sigue generando un soporte con formato muy similar al de las tradicionales tarjetas de banda magnética, y es la herramienta H3P de Realsec la que se encarga de incluir tanto los datos de EMV propios del perfil de la tarjeta, como los datos criptográficos de la misma.
La herramienta H3P de Realsec libera a las aplicaciones del host de la parametrización de los datos particulares de cada perfil EMV que sólo se usen para personalización, y alivia a los HSM Esfera, sobre todo destinados al transaccional online, de la pesadez de cálculos RSA destinados a la obtención de datos de personalización.
Asimismo, las nuevas tarjetas EMV proporcionan a los clientes ventajas, sobre todo, de seguridad en su operatoria. El hecho de que estas tarjetas incorporen chip, además de dificultar la copia de los datos financieros equivalentes a los recogidos en las bandas magnéticas, posibilitan la realización de cálculos criptográficos en la propia tarjeta. Con ello, en terminales adaptados a EMV, se abren nuevas posibilidades en lo que se refiere a garantizar la seguridad de la operación al cliente:
- Verificación por parte de la tarjeta de la autenticidad del titular de la misma, al poder la tarjeta verificar en offline el PIN tecleado por el cliente, lo que posibilita que los terminales puedan autorizar operaciones en off con la total garantía de haber verificado al titular de la tarjeta.
- Posibilidad de modificación desde host de ciertos datos de la tarjeta, en cualquier terminal adaptado a EMV (no sólo propios de la entidad emisora, como en el caso de tarjetas de bandas), mediante el envío de los denominados scripts en la respuesta de autorización o denegación a cualquier operación.
- Gestión, por parte de la tarjeta, del volumen de operaciones que el emisor le permite autorizar en off, mediante la inclusión en la misma de límites por importes y número de operaciones, los cuales pueden ser modificados mediante scripts durante la vida de la tarjeta.
Objetivos de la tecnología criptográfica en los medios de pagos
Las buenas prestaciones de H3P de Realsec fueron decisivas a la hora de iniciar el proyecto. Por un lado, Caja Duero cubre la necesidad de disponer de nuevas tecnologías que impidan o dificulten en mayor grado el fraude con tarjeta, sobre todo en la referente a la copia de los datos de bandas, además de adaptarse a las nuevas normativas.
Según Julio Enrique Bravo Carretero, Jefe de Proyectos de TIC de Caja Duero, “con la implantación de esta tecnología cubrimos las exigencias de la SEPA – Área Única de Pagos Europea-, Banco Central Europeo (BCE) y la Comisión Europea (CE), que obliga a que el EMV sea el estándar tecnológico y de seguridad de las tarjetas europeas”.
Además, es necesario también tener en cuenta las nuevas reglamentaciones de las Marcas Internacionales MasterCard y Visa, y de los Sistemas de Medios de Pago españoles, que establecen el denominado ‘cambio de responsabilidad EMV’ de forma que será la parte no adaptada a EMV, adquirente o emisor, la que asume el coste de la operación fraudulenta’.
El objetivo, por tanto, de la Caja es el de cumplir con todas las normativas nacionales e internacionales, y ofrecer a los clientes una tarjeta más segura basada en nuevas tecnologías. Actualmente ya han sido emitidas tarjetas con el nuevo sistema criptográfico por parte de Caja Duero, tanto de BINes Visa como MasterCard y Maestro, para la realización de un piloto.
Además, como implantación de nuevas medidas de seguridad, Caja Duero está valorando la migración de la gestión de claves maestras de cajeros, actualmente a través de custodios, a claves RSA.