Las cámaras fotográficas, los reproductores de mp3, los sistemas de posicionamiento global (GPS), las consolas de videojuegos portables e incluso las linternas han sido remplazadas por el teléfono móvil inteligente (smartphone). A partir de diciembre de 2019 una nueva funcionalidad le permitirá a los teléfonos móviles convertirse en dispositivos para permitir pagos mediante tarjetas contactless

El Payment Card Industry Security Standards Council (PCI SSC) está preparando un nuevo estándar de seguridad que pemitirá que los comerciantes puedan aceptar pagos realizados mediante tarjetas contactless (u otros dispositivos que soporten esta funcionalidad) haciendo uso de teléfonos móviles inteligentes de uso genérico sin necesidad de usar ningún hardware adicional (funcionalidad denominada tap and go). En este caso, se requieren cuatro componentes para el funcionamiento de este modelo:

  1. Las tarjetas a ser empleadas deben ser contactless (EMV chip contactless cards). Actualmente, la gran mayoría de tarjetas en el mercado soportan este modelo.
  2. La lectura de la tarjeta contactless deberá ser realizada usando la interfaz nativa near-field communication (NFC) del dispositivo (teléfono móvil).
  3. El teléfono móvil deberá tener una aplicación de software (app) validada y homologada, que se encargará de la transmisión de los datos capturados.
  4. El proveedor de pagos deberá contar con una serie de sistemas de back-end para monitorizar, validar la integridad y procesar la transacción.

Dicho estándar recibirá el nombre de PCI Contactless Payments on «commercial-off-the shelf » – COTS (CPoC™). Este tipo de soluciones serán evaluadas por laboratorios específicos y listadas en el sitio web del PCI SSC.

PCI Contactless Payments on COTS (CPoC™) complementará al estándar PCI Software-based PIN Entry on COTS (SPoC), con la diferencia que en el nuevo estándar PCI CPoC solamente se permitirán operaciones sin PIN. Esto es debido a que el dato del PIN requiere controles adicionales de seguridad y debe ser capturado en módulos de seguridad específicos, que no son incluídos en este nuevo modelo de pago.  Igualmente, en estas transacciones no se aceptará el PIN para evitar que este dato confluya en la memoria del teléfono con los datos de la tarjeta leída para evitar problemas de fraude.

NOTA: En diciembre de 2019 finalmente se publicó el estándar PCI Contactless Payments on COTS (CPoC™). Más información en el artículo «El año 2020 empieza con cambios de versiones y nuevos estándares: P2PE 3.0 y CPoC 1.0«.

David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.
View all posts