Etiquetado: 

Mostrando 2 respuestas a los debates
  • Autor
    Entradas
    • #54284
      Spdy0x
      Participante

      Estimado,

      primero que nada, darle las gracias por mantener y colaborar con le comunidad.

      Soy nuevo en el foro y quiero que me ayuden a entender ciertas funcionamientos del medios de pagos.

      Estoy queriendo implementar una solución de pago para comercios, he adquirido con una empresa los dispositivos MPOS y el cual he implementado en (iOS/Android) con un SDK. Pero me surge varias dudas la cual enumero a continuación.

      1) Que es Master Key?
      2) Que es Worker Key?
      3) Que es un TLV?
      4) Necesito alguna llave publica para configurar los MPOS? Esta me la da el procesador de pago? para cada comercio es distinta?.
      5) Los procesadores de pago se comunican por WebService SOAP?
      6) Que necesito tener en cuenta para el desarrollo de la app?
      7) Como seria la comunicación entre mi app y el procesador de pago?

      Desde ya muchas gracias.
      Espero me puedas ayudar.

      Saludos,

    • #54319
      David Acosta
      Participante

      Buenas tardes:

      La respuesta a tus preguntas es un poco complicada, pero trataré de simplificarla lo máximo posible.

      Antes que nada, es importante tener en cuenta los siguientes criterios:
      – El hardware que se va a emplear en la solución mPOS deberá estar aprobado bajo el estándar PCI PTS POI y solamente se podrán usar los modelos y las versiones de firmware homologadas. La lista de dispositivos la podrás encontrar aquí: https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices?agree=true
      – Los comercios que hagan uso de esta solución deberán cumplir con los requerimientos de los cuestionarios de autoevaluación SAQ B (si la conexión se realiza vía RPTC) o SAQ B-IP (si la conexión es vía GRPS/GSM/IP).

      Respecto a las preguntas, el dispositivo capturará los datos de la tarjeta (vía contactless, banda magnética, chip EMV) y los datos del PIN. A grandes rasgos, esas claves que te están pidiendo (Master Key / Session Key (working key)) son las claves que empleará el dispositivo para encriptar esos datos. Hay que tener en cuenta que el uso de estas claves (por ejemplo, para proteger el PIN) están sujetas al cumplimiento del estándar PCI PIN (https://www.pcihispano.com/que-es-pci-pin/).

      Para no complicarte más el asunto, todos estos temas derivados de la gestión de claves de encriptación te los debe solucionar tu adqquiriente o la pasarela de pago que los dispositivos vayan a usar. Igualmente, la integración del dispositivo con el adquiriente/pasarela (XML, ISO8583, JSON, SOAP) depende de cada proveedor…

      En términos de desarrollo de la aplicación, revisa estos artículos que te pueden ser útiles:

      ISACA publica una guía de seguridad en pagos móviles (y otros documentos interesantes): https://www.pcihispano.com/isaca-publica-una-guia-acerca-de-seguridad-en-pagos-moviles-y-otros-documentos-interesantes/
      El PCI SSC actualiza las guías de seguridad para la aceptación de pagos con móviles https://www.pcihispano.com/el-pci-ssc-actualiza-las-guias-de-seguridad-para-la-aceptacion-de-pagos-con-moviles/
      PCI DSS en aplicaciones de pago para smartphone https://www.pcihispano.com/pci-dss-en-aplicaciones-de-pago-para-smartphone/

      Espero que esta información te sea útil.

    • #54349
      Spdy0x
      Participante

      Muchas gracias por la información David.

      Saludos

Mostrando 2 respuestas a los debates
  • Debes estar registrado para responder a este debate.