Hay una tendencia constante en el mundo de la informática: pasar del hardware dedicado a componentes listos para usar con casos de uso definidos por software. Esta tendencia es coherente en el mundo de la seguridad, que está pasando de los perímetros vigilados por hardware a la protección inteligente por software.
Verimatrix ha estado en el punto de convergencia de estas tendencias, e incluso hemos sido elogiados por Omdia por nuestra agilidad y resolución a la hora de desarrollar nuevos productos con visión de futuro. Esto es cierto en todos los sectores a los que prestamos apoyo, desde la seguridad de contenidos con nuestros productos VCAS hasta nuestro apoyo continuo a la evolución de la seguridad de los pagos.
Innovación impulsada por la comodidad y la reducción del fraude
La innovación en la tecnología de pagos está impulsada por dos cuestiones:
- ¿Cómo podemos conseguir que más gente pague en nuestra plataforma? Para ello hay que hacer que pagar sea más fácil y cómodo.
- ¿Cómo reducimos el fraude? Al hacer que los pagos sean más seguros, se eliminan costes del sistema y aumenta la confianza del consumidor (lo que, a su vez, significa que más personas realizarán pagos en una plataforma fiable y segura).
Si se observa esta cronología de las innovaciones en tecnología de pagos, se puede ver que cada nuevo producto o lanzamiento estuvo impulsado por la comodidad o la detección del fraude:
Del chip al software: Preparando el camino para las transacciones "tap to phone
Cuando se iniciaron los pagos móviles con tarjeta, la seguridad se basaba en el método tradicional de la tarjeta "chip". Se utilizaba la tarjeta SIM o un chip dedicado (también conocido como elemento seguro) en el teléfono. Se trataba de un modelo de seguridad por hardware. Rápidamente se vio que, a menos que se controlara todo el ecosistema (a la Apple Pay), este modelo era muy incómodo de implantar.
El gran avance se produjo cuando Google abrió la antena NFC de los teléfonos Android a través de una interfaz llamada Host Card Emulation. De repente, todo podía integrarse en el software, lo que facilitaba enormemente el despliegue de carteras móviles basadas en tarjetas.
Pero, ¿qué pasa con la seguridad? Aquí es donde entran en juego las soluciones innovadoras, como la tecnología Software Shielding de Verimatrix. Los enfoques de seguridad adecuados desplegados en el software pueden proteger los monederos móviles a niveles equivalentes a los de las soluciones respaldadas por hardware, pero sin ninguno de los inconvenientes.
Dispositivos de consumo disponibles en el mercado (COTS)
El éxito de empresas pioneras como Square e iZettle demostró que existía una demanda de aceptación de pagos más accesible. De repente, comerciantes que nunca habrían podido plantearse el uso de terminales de punto de venta (TPV) dedicados disponían de una forma asequible y cómoda de aceptar pagos con tarjeta a través de nuevas soluciones de TPV móvil.
Estas primeras soluciones de TPV móvil utilizaban un enfoque híbrido: combinaban teléfonos móviles estándar para la interfaz de usuario y la conectividad, y hardware específico para realizar las transacciones con la tarjeta y cumplir los requisitos de seguridad.
Era sólo cuestión de tiempo que la aceptación hiciera la misma transición que la emisión: pasar a terminales de punto de venta de software puro (SoftPOS) que funcionan con dispositivos COTS. El único obstáculo real era la necesidad de "aceptar todas las tarjetas", incluidas las que llevan chip o banda magnética. El aumento del uso de los pagos sin contacto elimina este bloqueo: un teléfono Android con NFC puede comunicarse fácilmente con una tarjeta o un teléfono sin contacto del mismo modo que un terminal de punto de venta dedicado.
Pagos seguros por teléfono
Las primeras pruebas de tap to phone comenzaron en 2015 y el enfoque se aprobó oficialmente en 2019 con el lanzamiento de la especificación Contactless Payments on COTS de PCI. Esto ha acelerado el número de soluciones en desarrollo.
La PCI es una organización centrada en la seguridad de los pagos, por lo que no es de extrañar que la reciente especificación defina medidas estrictas que deben aplicarse. Como organización centrada en la seguridad, la PCI nunca comprometerá la seguridad solo para ayudar a un modelo de implantación más cómodo.
Los pagos modernos con tarjeta en comercios se basan en un sistema criptográfico de desafío-respuesta. El terminal genera el reto, que la tarjeta firma para autorizar la transacción. Mantener la seguridad de esta operación criptográfica es el objetivo de la especificación PCI. Si esta operación es segura, la transacción de pago es segura.
Un paso importante a la hora de poner en marcha una nueva implantación de Tap to Phone es la auditoría requerida por un laboratorio de seguridad homologado. Estos laboratorios realizan una evaluación independiente para garantizar el cumplimiento de la especificación PCI. Para los consumidores, la conformidad significa que pueden seguir confiando en las redes de pago. Para los vendedores, el cumplimiento debe considerarse algo más que un requisito de entrada, su verdadero objetivo es minimizar la exposición al riesgo para ellos y para todas las demás partes interesadas.
Protección de transacciones en dispositivos COTS con soluciones de blindaje de aplicaciones
Operar en dispositivos COTS significa que la criptografía debe realizarse en un entorno de software puro, lo que requiere criptografía de caja blanca y tecnologías de blindaje de aplicaciones más amplias. Sin este refuerzo, la aplicación SoftPOS será vulnerable a los ataques y el procesamiento de pagos quedará expuesto.
Verimatrix ha aportado esta experiencia a los bancos que han creado carteras de emisores durante los últimos 8 años; y ahora la empresa aporta estas soluciones a los proveedores de tecnología, fabricantes de puntos de venta y procesadores de pagos que están realizando el cambio a SoftPOS.
Si está emprendiendo este camino o empezando a colaborar con un laboratorio de seguridad, póngase en contacto con nosotros para hablar de cómo Verimatrix puede ayudarle a allanar su proceso.
