En esta tercera entrega de la serie “¿Cómo funcionan las tarjetas de pago?” se introducirá el concepto de PIN (Personal Identification Number) y su relación con las transacciones realizadas con tarjetas de pago.


Otros artículos de esta serie:


Historia del PIN (Personal Identification Number)

Posterior a la introducción de las tarjetas de pago con banda magnética, cualquier transacción presencial requería la validación de la tarjeta y de la transacción mediante diferentes métodos:

  • Validación de la posesión de la tarjeta por parte del titular, comparando los nombres y apellidos estampados en la tarjeta con un documento de identidad provisto por el usuario.
  • Comparación del número de la tarjeta con un listado de tarjetas anuladas, provisto por el banco emisor.
  • Firma por parte del usuario del recibo o factura de la compra realizada con la tarjeta de pago.
  • Copia de la tarjeta usando papel carbón y los datos en altorrelieve del PAN en un formulario especial empleando un equipo mecánico denominado “Credit Card Imprinter”, conocido en España como “bacaladera”.

bac1-540x361

Fuente: http://blog.fernandodecordoba.es

bac9-540x361

Fuente: http://blog.fernandodecordoba.es

A pesar de la funcionalidad de estos métodos en aquel tiempo, lamentablemente dependían de la presencia de una persona para que realizara las labores de validación. En vista de ello, en 1967, James Goodfellow, un inventor escocés, se encontraba trabajando en el diseño de un equipo automatizado que permitiera expender dinero físico a clientes bancarios. Su modelo requería que no existiera dependencia de una revisión manual en el momento de la validación de legitimidad de la tarjeta y de la autenticación del usuario (que realmente quien hiciera la transacción fuera quien decía ser). Para ello, ideó un sistema mediante el cual en el proceso de la transacción el usuario debía ingresar un número confidencial que solamente él y el banco emisor conocerían. Empleando este modelo se podría comprobar la identidad del usuario y la integridad de la tarjeta sin dependencia de una revisión manual. A este número secreto Goodfellow lo denominó Personal Identification Number (PIN), concepto que años más tarde patentaría y que finalmente sería estandarizado en 2002 en ISO 9564: Financial services — Personal Identification Number (PIN) management and security.

Gracias a este adelanto, los equipos ATM (Automatic Teller Machine – Cajeros electrónicos) empezaron a tener éxito y fueron implementados de forma masiva. Por otro lado, el mismo concepto se aplicó en otros dispositivos de cobro como POS (Point of Sale – Terminales de Punto de Venta), permitiendo la realización de transacciones presenciales y minimizando potenciales fraudes.

Generación y almacenamiento del  Personal Identification Number (PIN)

El PIN de una tarjeta de pago puede ser generado de diferentes formas y longitudes dependiendo de las políticas internas del banco emisor:

Método IBM 3624

Generación

Este es uno de los métodos  más antiguos empleados para la generación del PIN, que por lo general sigue estos pasos:

  1. El algoritmo de generación de PIN requiere una entrada inicial que es denominada “Validation Data” (Datos de Validación), que casi siempre corresponde al PAN (Primary Account Number) de la tarjeta asociada.
  2. Se realiza una fase de encriptación de los datos de validación empleando una clave específica de cifrado denominada “PIN Generation Key (PGK)”, conocida únicamente por el banco emisor.
  3. Los datos generados son convertidos al sistema de numeración decimal.
  4. Del resultado (que es denominado “Intermediate PIN”) se escogen X dígitos empezando desde la izquierda, donde X es la longitud del PIN definida por el banco.
  5. Dichos dígitos conforman el PIN asociado a la tarjeta (“Generated PIN“), que posteriormente es informado al usuario a través de un canal fuera de banda (out-of-the-band channel) como, por ejemplo, correo físico en un sobre de seguridad.

3624

Fuente: IBM z/OS V1R12.0 Cryptographic Services ICSF Application Programmer’s Guide

Como se puede observar, el PIN generado usando este método es un PIN estático, que no puede ser cambiado por el cliente. Si el cliente lo olvida o es comprometido, es necesario generar un nuevo PIN desde cero. Igualmente, si la tarjeta es cambiada, el PIN debe ser generado nuevamente debido a la dependencia referencial con el PAN.

Almacenamiento

Bajo este modelo, el PIN generado es almacenado de forma centralizada en las instalaciones del banco emisor.

En el momento de recibir una transacción, simplemente se extrae el PAN de la banda magnética y se aplica el mismo proceso de cifrado, comparando el resultado con el PIN enviado con el cliente.

Método IBM 3624 + Offset

Generación

A diferencia del modelo anterior, este método permite que el usuario pueda escoger su PIN y cambiarlo de forma periódica, lo cual agrega una capa de seguridad adicional.

  1. En este modelo se tienen dos entradas: “Validation Data“, que corresponde al PAN de la tarjeta asociada y el PIN seleccionado por el usuario  (“Customer Selected PIN“).
  2. Se realiza una fase de encriptación de los datos de validación empleando una clave específica de cifrado denominada “PIN Generation Key (PGK)”, conocida únicamente por el banco emisor.
  3. Los datos generados son convertidos al sistema de numeración decimal.
  4. Del resultado (que es denominado “Intermediate PIN“) se escogen los X dígitos empezando desde la izquierda, donde X es la longitud del PIN definida.
  5. Del PIN escogido por el usuario (“Customer Selected PIN“) se le sustrae el valor del PIN intermedio (“Intermediate PIN“) usando  una resta modular. Este valor es denominado “PIN Offset“.

3624+offset

Fuente: IBM z/OS V1R12.0 Cryptographic Services ICSF Application Programmer’s Guide

Almacenamiento

El “PIN Offset” puede ser almacenado en la banda magnética y/o de forma centralizada por el banco emisor, en función del tipo de transacción utilizada (offline u online, respectivamente).

Cuando se recibe una transacción, para la validación del PIN se realiza una suma modular entre el “PIN Offset” y el PIN provisto por el cliente.

Método VISA

Generación

Este método se emplea por lo general en tarjetas Visa, aunque otras marcas hacen uso de él dependiendo de sus necesidades. A diferencia del método IBM 3624 con Offset, en este modelo se genera un dato denominado “PIN Verification Value” (PVV), que simplemente sirve para comparar el PIN ingresado por el usuario en el momento de la transacción.

Para ello se siguen estos pasos:

  1. Se obtiene el PAN de la tarjeta y de él se extraen los 11 primeros dígitos de izquierda a derecha.
  2. Se escoge un valor denominado PIN Validation Key Index (PVKI), que es un valor entre 1 y 6
  3. Se agrega el valor del PIN (provisto por el usuario o generado por primera vez usando el método IBM 3624)
  4. Dependiendo de la elección del PVKI, se selecciona una clave de cifrado “PIN Validation Key(PVK) para cifrar todos los datos anteriores. El resultado es un número denominado “PIN Verification Value(PVV).

Almacenamiento

El dato PVV puede ser almacenado tanto en la banda magnética como de forma centralizada por el banco emisor.

Para la validación del PIN, el banco emisor calcula el PVV de los datos provistos por el cliente (PAN y PIN) y compara este valor contra el PVV que tiene almacenado.

Dispositivos de lectura del PIN: PIN Entry Device (PED)

Debido a que el PIN es un dato confidencial, el dispositivo en el cual se digita debe tener unas consideraciones de seguridad mínimas que permitan la seguridad de este dato durante su ingreso y procesamiento.  Por otro lado, el PIN capturado debe ser transmitido de forma segura ya sea al banco emisor o a la tarjeta con chip para su validación.

Para gestionar la seguridad tanto en el momento de la lectura como del envío del PIN se emplea un dispositivo autocontenido denominado PIN PAD o PIN Entry Device (PED). Este dispositivo cuenta con una serie de características de seguridad, entre las cuales se pueden nombrar:

  • Permite el ingreso del PIN mediante un teclado numérico especial
  • En el momento de capturar el PIN lo encripta con una serie de claves de cifrado especiales que almacena internamente. El PIN cifrado de esta forma recibe el nombre de PIN Block.
  • Establece un canal seguro para el envío del PIN Block al banco emisor o a la tarjeta con chip.
  • Cuenta con controles especiales para detectar intentos de manipulación (“anti-tampering”) y ante cualquier problema puede borrar de forma segura tanto las claves de cifrado almacenadas como el PIN capturado.
  • Después de capturar el PIN y encriptarlo (PIN Block) realiza un borrado seguro de estos datos.

Los dispositivos PED hacen parte de equipamiento POS (Point of Sale – Terminal de Punto de Venta (TPV)) y de ATM (Automated Teller Machine), complementando aquellas labores de lectura de banda/chip capturando el PIN para la validación de la transacción.

PED

 Fuente: www.postdata.com

Consideraciones de seguridad con el PIN (Personal Identification Number)

Algunas consideraciones de seguridad en el momento de uso del PIN en una transacción presencial son los siguientes:

  • Nunca se solicitará el PIN en una transacción no presencial (comercio electrónico o compra por teléfono). Para este tipo de situaciones se emplea el CVV2.
  • Cuando se digita el PIN de la tarjeta, se  debe cubrir con la mano el teclado para evitar que una persona con visibilidad directa pueda observar el dato.
  • El PIN es un número secreto, personal e intransferible. Si alguien tiene acceso a su tarjeta (plástico) y a su PIN puede realizar transacciones presenciales suplantándolo.
  • No digite el PIN en dispositivos no confiables.
  • Nunca su entidad bancaria le solicitará el PIN a través de teléfono o correos electrónicos.

10564151-keep-your-pin-secure

Fuente: www.prlog.com

PIN (Personal Identification Number) y los estándares del PCI SSC

Con el objetivo de establecer un marco común para la interacción y seguridad de los dispositivos de gestión de PIN, el PCI SSC (Payment Card Industry Security Standards Council) creó el estándar PCI PTS (Payment Card Industry PIN Transaction Security) Este estándar está conformado por una serie de requisitos específicos para la seguridad en dispositivos que aceptan PIN en sus transacciones, denominados POS POI Terminals (Point-of-sale Point-of-Interaction Terminals):

  • Point-of-sale PIN Entry Device (PED): Terminales autocontenidas provistas por fabricantes para aceptar transacciones con PIN
  • Encripting PIN Pad (EPP): Dispositivos empleados para la securización en el ingreso del PIN y cifrado en terminales no atendidas (Unattended terminals). Puede ser un equipo con un lector de tarjetas con pantalla integrada o depender de pantallas y/o lectores externos. Los EPP requieren controles de seguridad lógicos y físicos como carcazas resistentes contra manipulación. Por lo general son integrados en UPT o ATM (Automated Teller Machine)
  • Unattended Payment Terminal (UPT): Cualquier dispositivo POS POI en donde la transacción es iniciada por el titular de la tarjeta y no hay soporte inmediato del comercio encargado. Incluye terminales como dispensadores de combustible, quioscos y equipos de venta de tickets o aparcamiento.

Así mismo,  el PCI SSC gestiona el programa PCI PIN Security Requirements (proveniente del programa VISA PIN Security) que contiene 32 requerimientos organizados en 7 objetivos principales que han de ser cumplidos de forma obligatoria por cualquier organización adquiriente y agentes responsables del procesamiento de transacciones con PIN:

  • Objetivo 1: Los códigos PIN usados en transacciones bajo estos requerimientos deben ser procesados usando equipamiento y metodologías que garanticen que permanecerán seguros.
  • Objetivo 2: Las claves criptográficas usadas en el proceso de cifrado/descifrado de PIN y cualquier otra clave relacionada deben ser creadas usando procesos que garanticen que no sea posible predecirlas o determinar que cierta clave es más probable que otras.
  • Objetivo 3: Las claves deben ser transmitidas de una forma segura.
  • Objetivo 4: La carga de claves en hosts y dispositivos de ingreso de PIN deben ser manejados de una forma segura.
  • Objetivo 5: Las claves deben ser usadas de una forma que prevenga o detecte su uso no autorizado.
  • Objetivo 6: Las claves deben ser administradas de una forma segura.
  • Objetivo 7: El equipamiento utilizado para procesar PINs y claves debe ser manejado de una forma segura.

Aquellos dispositivos que cumplen con estas prerrogativas son homologados por el PCI SSC y listados de forma periódica en el apartado “Approved PIN Transaction Security” de la página del Council: https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php

Adicionalmente, el PCI SSC publicó un documento especial en donde describe los controles de seguridad a ser aplicados por equipos autocontenidos para la gestión de servicios criptográficos denominados “Hardware Security Module” (HSM), que son los encargados de desarrollar las labores de cifrado/descifrado de PIN y almacenamiento seguro de las claves de cifrado de forma centralizada.

Finalmente, en el estándar PCI DSS (Payment Card Industry Data Security Standard) se encuentra el requerimiento 3.2.3 que prohíbe el almacenamiento del PIN en texto claro o del PIN Block (PIN cifrado) a comercios y proveedores de servicio:

3.2.3 No almacene el número de identificación personal (PIN) ni el bloque de PIN cifrado (PIN Block)

Con todos estos controles, la intención es minimizar los potenciales fraudes y problemas asociados a transacciones presenciales.

Referencias:

Blog de Fernando de Córdoba: “Así se cobraba con tarjeta de crédito en los 80” (http://blog.fernandodecordoba.es/asi-se-cobraba-con-tarjeta-de-credito-en-los-80/)

PCI SSC Documents Library: PTS (https://www.pcisecuritystandards.org/security_standards/documents.php?agreements=pcidss&association=pts)

IBM z/OS V1R12.0 Cryptographic Services ICSF Application Programmer’s Guide