THALES e-security P3 Proceso de Preparación de la Personalización Fácil Integración en las Tarjetas Inteligentes Sistema de Administración de las Claves por la Entidad Emisora Interfaz de Autoridad de Certificación Procesamiento del Expediente de la Tarjeta Control de Acceso y Registro de Eventos Apoyo para las Aplicaciones de Plataforma Abierta de Visa (VOP) Apoyo para las Aplicaciones Multos www.thales-esecurity.com
P3 Proceso de Preparación de la Personalización La Necesidad La tarjeta de pago con banda magnética ha sido parte de nuestras vidas cotidianas desde hace muchos años. Su aplicación y su uso aumentan cada año. Existe una migración cada vez mayor de éstas tarjetas hacia el uso de Tarjetas de Circuitos Integrados la Tarjeta Inteligente. Son varios los beneficios que brindan éstas tarjetas, como una mayor seguridad, el control del riesgo de fraude, y la posibilidad de añadir nuevas aplicaciones a medida que sean creadas, entre las cuales las que más han dado de qué hablar son las de cartera electrónica (tarjetas de valor almacenado o SVC) y las de lealtad. La creación y emisión de éstas tarjetas implica generar muchos más datos, en ocasiones mediante el uso de modernos regímenes criptográficos como el RSA. Los datos en las tarjetas de bandas magnéticas por lo general se producen en una computadora central tipo mainframe, cuya modernización resulta costosa. La migración de las tarjetas de banda magnética a las Tarjetas Inteligentes probablemente comenzará con un programa piloto que permitirán la adquisición de experiencia tanto directa e interna como de mercado. Después de éste programa vendría la entrega completa a toda la clientela de la entidad emisora. En la actualidad, la entidad emisora genera un archivo de datos de su base de datos de titulares de tarjetas y le entrega estos datos a un servicio interno o externo de personalización de tarjetas. Este archivo contiene la información impresa en relieve en la tarjeta, la información de la banda magnética, datos impresos sobre un transportista para efectuar la entrega de la tarjeta y, posiblemente, datos fotográficos. O sea, todo lo necesario para producir una tarjeta de banda magnética completamente personalizada. El producto P3 se ha diseñado y creado de manera que permita que las entidades emisoras se integren a esquemas de Tarjetas Inteligentes mediante la reducción o eliminación de la necesidad de cambiar los sistemas existentes de emisión de tarjetas. La Solución El sistema P3 recibe los archivos generados de la aplicación anfitriona existente y añaden los datos necesarios para que las aplicaciones de tarjeta inteligente produzcan un archivo compuesto en un formato listo para el sistema de personalización. El sistema P3 produce - Datos de cartera electrónica (DES y RSA) Claves y certificados criptográficos Datos de tarjetas de crédito y de débito. HSM
Valiéndose de los formatos de archivos de datos que se utilizan ampliamente en la industria de tarjetas, el P3 hace interfaz con los sistemas de personalización de tarjetas y, en particular, con la serie DataCard 9000 de sistemas de personalización. La operación del sistema P3 puede efectuarse tanto en la sede de la entidad emisora como en un servicio de personalización. Si bien el P3 brinda una transferencia eficaz en función de los costos a los regímenes pilotos, también permite que las entidades emisoras pasen a un programa de entrega a toda su clientela Los Usuarios Entidades Emisoras de Tarjetas los bancos y organizaciones que mantienen bases de datos con los expedientes de los titulares de tarjetas. Sistemas de Personalización se encargan de procesar el archivo de datos que controla los módulos de personalización de las tarjetas: los datos del chip, la banda magnética, la información impresa en relieve, la tipografía y cualquier requisito específico de cada régimen. El producto P3 mantiene las claves criptográficas necesarias para la personalización segura de las tarjetas. El sistema P3 puede utilizarse en la sede de la entidad emisora para su propia producción de tarjetas, se pueden enviar los archivos necesarios a un servicio externo y puede instalarse en un servicio externo para que acepte y utilice los archivos estándar proporcionados por las entidades emisoras: es un un producto versátil. El Producto El sistema P3 es una aplicación independiente de PC que funciona en una plataforma Windows NT y utiliza la serie RG 7000 del Módulo de Seguridad del Anfitrión (HSM). La operación del sistema P3 se divide en tres etapas principales Ajuste de parámetros para las aplicaciones de tarjetas seleccionadas en esta etapa se establecen las referencias correspondientes para la identificación de bancos y de aplicaciones, junto con todos los archivos de control necesarios que determinan exactamente cómo se deben procesar los datos de la tarjeta. Establecimiento de claves criptográficas - las claves y otros datos relacionados con la seguridad se generan dentro del Módulo de
Seguridad o se importan de una fuente externa y se guardan, en forma codificada, en una base de datos en el disco duro de la computadora. Las Claves Públicas de la Entidad Emisora deben certificarse a través de una Autoridad de Certificación (CA) de regímenes. Se brindan los medios de generar estas claves y exportarlas en los formatos correspondientes a la CA, donde quedan rubricados por la clave privada de la CA. Entonces se produce un Certificado de Entidad Emisora que se vuelve a enviar al sistema P3, donde queda verificado y guardado en la base de datos. La clave pública de la CA se distribuye a todas las terminales que acepten las tarjetas. Procesamiento de los archivos - La función principal del sistema P3 consiste en tomar un archivo de datos producido por la Entidad Emisora (que contenga la banda magnética tradicional, la información impresa en relieve y otros datos) y complementar esto con los datos del chip correspondientes a las aplicaciones seleccionadas. Podría tratarse de una aplicación de crédito/débito basada en EMV, una aplicación de cartera electrónica o una aplicación de lealtad, entre otras. Los pormenores exactos de las aplicaciones añadidas, por ejemplo, cuáles claves y datos utilizar, se establecen antes de cada instancia de procesamiento. Apoyo a las Aplicaciones En el sistema P3 se incorpora el apoyo para dos tipos distintos de aplicaciones de tarjetas de circuito integrado. Las aplicaciones predefinidas que funcionan con tarjetas de aplicaciones fijas eran hasta tiempos recientes el método estándar de uso de las tarjetas de circuito integrado. Las aplicaciones (predefinidas o sin definir aún) que funcionan con tarjetas de plataformas abiertas, como la Multos y la Plataforma Abierta de Visa (VOP). Estas dos plataformas apoyan múltiples aplicaciones para una sola tarjeta. Muchas entidades emisoras ven en esto el futuro de las Tarjetas Inteligentes, pues brinda un método más dinámico y eficaz en función de los costos, con lo cual las nuevas aplicaciones se pueden llevar rápidamente al mercado. También brinda la posibilidad de cargar nuevas aplicaciones o actualizar aplicaciones existentes después de haberse emitido la tarjeta. Apoyo a Aplicaciones Predefinidas Las aplicaciones predefinidas que el sistema P3 apoya son: Débito-Crédito Inteligente de Visa (VSDC). M/Chip Lite régimen de crédito / débito básico de MasterCard/Europay M/Chip Select régimen de crédito / débito de MasterCard/Europay con capacidad avanzada de funcionar en la plataforma Multos Visa Cash Cartera electrónica de Visa UKIS régimen de crédito / débito utilizado en el Reino Unido. En relación con éstas aplicaciones, todos los conocimientos intrínsecos sobre cómo recabar los datos necesarios para la aplicación están incorporados en el sistema P3. La entidad emisora HSM brinda un archivo de datos del titular de la tarjeta (por lo general contiene los datos tradicionales de
Módulo de Seguridad del Anfitrión (HSM) Especificaciones Técnicas Desempeño Típico en la RG7110 180 tps (transacciones por segundo) Función de Verificar RG7210 720 tps Números PIN de VISA RG7310 220 tps RG7100 60 tps RG7200 80 tps RG7300 70 tps RG7400 10-15 tps RG7500 8 tps RG7600 25 tps Apoyo Criptográfico Algoritmos DES y Triple DES Brindan la posibilidad de codificar el PIN y autenticar mensajes. Algoritmo RSA (opcional) Brinda gestión de claves de alto nivel y apoya la generación y validación de las firmas digitales. La longitud de las claves de RSA se puede seleccionar de 320 a 2048 bits. Componentes Locales de Clave Maestra Se guardan en las Tarjetas Inteligentes (ISO 7816) para almacenarlos o distribuirlos de manera segura. Interfaces de Comunicaciones RG7100/ 7110 TTCP/IP Y UDP, Ethernet; Asincrónico, RS-232 RG7200/7210 Interfaz de canal de IBM (FIPS 60) RG7300/7310 SDLC, RS-449; Asincrónico, RS-232 RG7400 Asincrónico y sincrónico binario, RS-232 RG7500 SNA/SDLC, RS-232 RG7600 SNA/SDLC, V.35 Resistencia a la Manipulación Conforme con las Normas FIPS 140-1 de Nivel 3 sobre Seguridad Física y EFP. Alimentación eléctrica Voltaje 90-132 VAC y 175-264 VAC, autoseleccionado Frecuencia 47-63 Hz Fusible 1.6A acción retardada Entorno Temperatura de Operación 10 a 40 C Humedad 10% a 90%, sin condensación Dimensiones Físicas Altura 133 mm (5.25") Ancho 483 mm (19") Profundidad 489 mm (19.25") Peso 18 kg (40 lb.) IBM es una marca registrada de International Business Machines Corporation. UNIX es una marca registrada en los Estados Unidos y en otros países, y su licencia se otorga exclusivamente a través de X/Open Company, Ltd. HP es una marca registrada de la Compañía Hewlett-Packard. Amdahl es una marca registrada de la Corporación Amdahl. Bull es una marca registrada de Bull, S.A. DEC es una marca registrada de Digital Equipment Corporation. NCR es una marca registrada de la Compañía AT&T GLOBAL Information Solutions. Stratus es una marca registrada de la Corporación Stratus. Tandem es una marca registrada de Tandem Computers, Inc. Unisys es una marca registrada de la Corporación Unisys. Todos los demás logotipos y nombres de productos son marcas comerciales o marcas registradas de sus compañías respectivas.
esenciales como el borrado de claves y certificados. De éste modo se garantiza que los Administradores de P3 no puedan borrar inadvertidamente ningún dato que pueda ser fundamental para la misión. Le corresponde al administrador del sistema NT velar por que la separación de funciones se cumpla debidamente al asegurarse, por ejemplo, de que ninguna persona específica pueda hacer Módulo de Seguridad del Anfitrión (HSM) - lleva a cabo todas las funciones criptográficas que requiere el sistema P3. El HSM es un módulo de seguridad resistente a la manipulación que permite el almacenamiento seguro de las claves sin riesgo de que queden expuestas a los operadores del sistema ni a ninguna organización externa. El HSM se puede conectar al puerto en serie de la computadora PC que ejecuta el sistema P3, o a través de una conexión de red Ethernet. En éste último caso, se recomienda que el módulo HSM se conecte a una tarjeta exclusiva de red en la computadora de modo que el tráfico de seguridad no quede al alcance de otras entidades de la red y para que el desempeño sea lo mejor posible. Registro de Eventos - Consiste en un archivo de texto que contiene una descripción de cada una de las actividades principales realizadas por el sistema P3. Cada partida del registro incluye la fecha, hora e identificación del usuario. Al comienzo de cada mes, se inicia automáticamente un nuevo registro de eventos. Este puede configurarse de modo que se defina qué actividades se incluyen en el registro y dónde se guardan los archivos del registro. Este se puede ver mediante un programa estándar de edición de textos. Requisitos del Sistema El sistema P3 está diseñado para funcionar en una plataforma PC con las siguientes especificaciones: Procesador Pentium de 200 MHz como mínimo 64 Mb de RAM como mínimo Disco duro con un mínimo de 100 Mb de espacio Tarjeta de red Ethernet (si se va a utilizar un HSM de Ethernet) Sistema operativo Windows NT 4.0 Adobe Acrobat Reader 4.0 (necesario para abrir la guía en línea del usuario). Además, es necesaria una terminal de consola HSM (por ejemplo, una terminal no programable, compatible con VT100) para realizar ciertas funciones administrativas importantes. El usuario del sistema P3 debe proporcionar todos los artículos anteriores. Europa, Oriente Medio, África THALES e-security LTD. Meadow View House Long Crendon, Aylesbury Buckinghamshire, HP18 9EQ, Reino Unido Tel: +44 (0)1844 201800 Fax: +44 (0)1844 208550 Correo electrónico: emea.sales@thales-esecurity.com Américas THALES e-security, INC. Sawgrass Technology Park 1601 North Harrison Parkway Building A, Suite 100 Sunrise, FL 33323, USA Tel: +1 888 744 4976 ó: +1 954 846 4700 Fax: +1 954 846 3935 Correo electrónico: americas.sales@thales-esecurity.com www.thales-esecurity.com Asia y Pacífico THALES e-security (ASIA) LTD. Asia Pacific Units 2205-06, 22/F Vicwood Plaza, 199 Des Voeux Road Central, Hong Kong, PRC Tel: +852 2815 8633 Fax: +852 2815 8141 Correo electrónico: asia.sales@thales-esecurity.com Debido a que seguimos una política de evolución continua, la información y especificaciones aquí expuestas podrían cambiar sin previo aviso. Se reconocen todas las marcas comerciales. RSA Data Security, Inc. tiene la licencia exclusiva de la Patente de EE.UU. No. 4,405,829.