ES2552048T3 - Comprobación de PIN en una red "Hub and Spoke" - Google Patents

Comprobación de PIN en una red "Hub and Spoke" Download PDF

Info

Publication number
ES2552048T3
ES2552048T3 ES12716222.0T ES12716222T ES2552048T3 ES 2552048 T3 ES2552048 T3 ES 2552048T3 ES 12716222 T ES12716222 T ES 12716222T ES 2552048 T3 ES2552048 T3 ES 2552048T3
Authority
ES
Spain
Prior art keywords
buyer
information
pin code
payment server
credit card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES12716222.0T
Other languages
English (en)
Inventor
Magnus Nilsson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
iZettle Merchant Services AB
Original Assignee
iZettle Merchant Services AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by iZettle Merchant Services AB filed Critical iZettle Merchant Services AB
Application granted granted Critical
Publication of ES2552048T3 publication Critical patent/ES2552048T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/403Solvency checks
    • G06Q20/4037Remote solvency checks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • G06Q20/425Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • G07F7/088Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1058PIN is checked locally
    • G07F7/1066PIN data being compared to data on card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1075PIN is checked remotely
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1091Use of an encrypted form of the PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Método para llevar a cabo pagos electrónicos con tarjeta de crédito a un adquiriente de pago usando un dispositivo del comerciante (202, 203), un dispositivo móvil del comprador (208), un servidor de pago (205) y un servidor de banco (207), comprendiendo el dispositivo del comerciante un lector de tarjetas (202) y un teléfono móvil (203), comprendiendo dicho método: - iniciar una transacción de pago electrónico con tarjeta de crédito ejecutando una aplicación de pago en dicho dispositivo del comerciante (301); - introducir información de venta en dicho dispositivo del comerciante (302); - introducir una tarjeta de crédito (201) en dicho lector de tarjetas de dicho dispositivo del comerciante (303); - introducir información de identificación de comprador y generar una petición de entrada de número de identificación personal (PIN) en dicho dispositivo del comerciante (304); - transmitir un mensaje de compra cifrado desde dicho dispositivo del comerciante a dicho servidor de pago, en el que dicho mensaje de compra cifrado comprende una petición de entrada de PIN y al menos una de información de venta, información de identificación de comprador e información de tarjeta de crédito cifrada leída desde dicha tarjeta de crédito en dicho lector de tarjetas (305); - recibir y descifrar dicho mensaje de compra cifrado en dicho servidor de pago (306); - determinar, en el servidor de pago, dicha información de contacto del comprador usando dicha información de identificación del comprador en dicho mensaje de compra cifrado descifrado (307); - transmitir, desde dicho servidor de pago, una petición de código PIN a dicho dispositivo móvil del comprador basándose en dicha información de contacto del comprador (308); - recibir dicha petición de código PIN en dicho dispositivo móvil del comprador, y lanzar una aplicación de entrada de PIN segura en dicho dispositivo móvil del comprador (309); - introducir un código PIN en dicha aplicación de entrada de PIN segura (310); - cifrar el código PIN en un bloque de código PIN, en el dispositivo móvil del comprador; - transmitir dicho bloque de código PIN que comprende dicho código PIN cifrado desde dicho dispositivo móvil del comprador a dicho servidor de pago (312); - recibir dicho bloque de código PIN en dicho servidor de pago (313); - determinar, en dicho servidor de pago, si va a realizarse una verificación de dicho código PIN fuera de línea o en línea (314); en caso de que se determine que la verificación del código PIN es una verificación fuera de línea (315), realizar las etapas de: i. transmitir dicho bloque de código PIN desde dicho servidor de pago a dicho lector de tarjetas de dicho dispositivo del comerciante; ii. descifrar, en dicho lector de tarjetas de dicho dispositivo del comerciante, dicho bloque de código PIN y verificar dicho bloque de código PIN con información de PIN en dicha tarjeta de crédito; iii. transmitir información de venta desde dicho dispositivo del comerciante a dicho servidor de pago; iv. transmitir dicha información de tarjeta de crédito y dicha información de venta desde dicho servidor de pago a dicho servidor de banco; y v. verificar dicha información de tarjeta de crédito e información de venta en dicho servidor de banco; en caso de que se determine que la verificación del código PIN es una verificación en línea (316), realizar las etapas de: i. transmitir dicho bloque de código PIN, dicha información de tarjeta de crédito y dicha información de venta desde dicho servidor de pago a dicho servidor de banco; y ii. verificar dicho código PIN, dicha información de tarjeta de crédito y dicha información de venta en dicho servidor de banco; - producir un mensaje de verificación en dicho servidor de banco basándose en dicha verificación (317); - transmitir dicho mensaje de verificación desde dicho servidor de banco a dicho servidor de pago (318); - generar un mensaje de recepción en dicho servidor de pago basándose en el mensaje de verificación recibido (319); - transmitir dicho mensaje de recepción a dicho dispositivo móvil del comprador y dicho dispositivo del comerciante a través de dicho servidor de pago (320); y - visualizar dicho mensaje de recepción en dicho dispositivo móvil del comprador y en dicho dispositivo del comerciante completando dicho pago electrónico (321) con tarjeta de débito o crédito.

Description

5
10
15
20
25
30
35
40
45
50
E12716222
02-11-2015
DESCRIPCIÓN
Comprobación de PIN en una red “Hub and Spoke”
Campo técnico
La invención se refiere en general al campo de las transacciones con tarjetas de pago electrónico seguro, y más particularmente, a un método y un sistema para pagos con tarjeta de débito y crédito seguros usando dispositivos de comunicación móvil tales como teléfonos móviles.
Antecedentes
Cada día, en todo el mundo, se realizan un número increíble de pagos con tarjeta de débito y crédito, y el número de pagos aumenta de manera continua.
EMV es la especificación para el sistema de pago más importante para las tarjetas de débito y crédito en el mercado y se desarrolló conjuntamente por las empresas Europay International, Mastercard International y Visa International, de ahí la abreviatura EMV. Para poder desarrollar un sistema de pago con tarjeta de débito y crédito que pueda usar tarjetas aprobadas por EMV convencionales, es esencial que el sistema de pago cumpla con la especificación EMV.
La mayor parte de pagos con tarjeta de débito y crédito siguen realizándose en tiendas que usan terminales de punto de venta (POS, point-of-sale) aprobados por EMV de gran tamaño y estacionarios. Sin embargo, en los últimos años ha aumentado rápidamente el interés, por parte del público y de las empresas, por poder realizar pagos con dispositivos de mano portátiles tales como teléfonos móviles. Sin embargo, el teléfono móvil no se considera un dispositivo seguro y no cumpliría con los requisitos para llevar a cabo un pago EMV. El principal problema de seguridad es la entrada del número de identificación personal (PIN) en el teléfono móvil que podría verse interceptada por un tercero usando por ejemplo software malicioso. Por tanto, es altamente deseable encontrar una manera de poder realizar pagos con tarjeta de débito y crédito seguros aprobados por EMV usando los teléfonos móviles habituales.
Sumario de la invención
Considerando la descripción anterior, entonces, un aspecto de la presente invención es proporcionar una manera de realizar pagos con tarjeta de débito y crédito seguros aprobados por EMV que permitan mitigar, aliviar o eliminar una
o más de las deficiencias identificadas anteriormente en la técnica y las desventajas de manera individual o en cualquier combinación.
Un primer aspecto de la presente invención se refiere a un método según la reivindicación 1 para llevar a cabo pagos electrónicos con tarjeta de crédito a un adquiriente de pago usando un dispositivo del comerciante, que comprende un lector de tarjetas y un teléfono móvil, un dispositivo móvil del comprador, un servidor de pago y un servidor de banco.
En el método para llevar a cabo pagos electrónicos con tarjeta de crédito, la etapa de introducir el código PIN en dicha aplicación de entrada de PIN segura también puede comprender introducir información de seguridad de comprador y cifrar dicha información de seguridad de comprador e incluirla en dicho bloque de código PIN.
En el método para llevar a cabo pagos electrónicos con tarjeta de crédito, la etapa de recibir dicho bloque de código PIN en dicho servidor de pago también puede comprender descifrar dicha información de seguridad de comprador en dicho servidor de pago, y verificar dicha información de seguridad de comprador comparándola con dicha información de identificación de comprador.
En el método para llevar a cabo pagos electrónicos con tarjeta de crédito, dicha información de identificación de comprador puede ser cualquiera de: el número de teléfono móvil del comprador, una dirección de correo electrónico, una dirección postal, un número de seguridad social, una firma, un código de un solo uso, un número de identificación previamente registrado, una fotografía e información biométrica.
En el método para llevar a cabo pagos electrónicos con tarjeta de crédito, dicha etapa de lanzar una aplicación de entrada de PIN segura en dicho dispositivo móvil del comprador puede implicar lanzar una interfaz web cifrada que se cifra de manera única para cada evento de entrada de PIN, o un navegador web dedicado que puede descifrar el componente web de entrada de PIN y garantizar una entrada segura del código PIN.
En el método para llevar a cabo pagos electrónicos con tarjeta de crédito, dicha transmisión entre dicho dispositivo del comerciante y dicho servidor de pago, entre dicho servidor de pago y dicho dispositivo móvil del comprador, y entre dicho servidor de pago y dicho servidor de banco puede cifrarse usando comunicación de capa de conexión segura (secure socket layer) convencional.
En el método para llevar a cabo pagos electrónicos con tarjeta de crédito, dicho mensaje de recepción puede almacenarse en el servidor de pago, y es accesible por el comprador y/o el comerciante usando un navegador web, el dispositivo del comerciante o el dispositivo móvil del comprador.
10
15
20
25
30
35
40
45
50
55
E12716222
02-11-2015
Un segundo aspecto de la presente invención se refiere a un sistema para llevar cabo pagos electrónicos con tarjeta de crédito que comprende un dispositivo del comerciante, que comprende un lector de tarjetas y un teléfono móvil, un servidor de pago, un teléfono móvil del comprador y un servidor de banco, en el que dicho dispositivo del comerciante, servidor de pago, dispositivo del comprador y servidor de banco tienen medios transceptores y medios procesadores para llevar a cabo las etapas indicadas en el primer aspecto anteriormente.
Breve descripción de los dibujos
A partir de la siguiente descripción detallada de algunas realizaciones de la invención, en la que se describirán en más detalle algunas realizaciones de la invención con referencia a los dibujos adjuntos, resultarán evidentes objetos, características y ventajas adicionales de la presente invención. En los dibujos:
la figura 1 muestra un teléfono móvil para llevar a cabo pagos EMV autorizados con PIN, según una realización de la presente invención; y
la figura 2 muestra un diagrama de bloques de un sistema para llevar a cabo pagos EMV autorizados con PIN usando un teléfono móvil convencional, según una realización de la presente invención; y
la figura 3a muestra un diagrama de flujo que describe las etapas en un método para llevar a cabo pagos EMV autorizados con PIN usando un teléfono móvil convencional, según una realización de la presente invención; y
la figura 3b muestra un diagrama de flujo que es una continuación del diagrama de flujo en la figura 3a, según una realización de la presente invención; y
la figura 3c muestra un diagrama de flujo que es una continuación del diagrama de flujo en la figura 3a, según una realización de la presente invención.
Descripción detallada
A continuación en el presente documento, con referencia a los dibujos adjuntos en los que se muestran realizaciones de la invención, se describirán en más detalle realizaciones de la presente invención. Sin embargo, esta invención puede implementarse de muchas maneras diferentes y no se interpretará como limitada a las realizaciones expuestas en el presente documento. Más bien, estas realizaciones se proporcionan de modo que esta divulgación será completa y detallada, y transmitirá completamente el alcance de la invención a los expertos en la técnica. Los números de referencia similares se refieren a elementos similares en todo el documento.
Las realizaciones de la presente invención se explicarán con ejemplos usando un dispositivo de comunicación móvil tal como un teléfono móvil. Sin embargo, se apreciará que la invención como tal es igualmente aplicable a dispositivos electrónicos que tienen soporte de comunicación por radio inalámbrica y/o por cable. Ejemplos de tales dispositivos pueden ser, por ejemplo, cualquier tipo de teléfono móvil, ordenadores de mano portátiles (tales como los convencionales, ultraportátiles, netbooks y microordenadores portátiles), asistentes digitales portátiles, ordenadores tipo tableta, dispositivos de juego, accesorios de teléfonos móviles, etc. Sin embargo, por motivos de claridad y simplicidad, las realizaciones indicadas en esta memoria descriptiva se muestran como ejemplos con, y con respecto a, sólo teléfonos móviles.
La presente invención se refiere a pagos con tarjeta de débito y crédito aprobados por EMV usando un teléfono móvil convencional. A continuación en el presente documento el término tarjeta de crédito se referirá a tarjetas de crédito, tarjetas de débito, otro tipo de tarjetas electrónicas que pueden usarse y/o funcionan como tarjeta de débito o crédito. El término tarjeta de crédito también puede incluir un software que actúa como tarjeta de débito o crédito, o un servicio informático que actúa como tarjeta de débito o crédito. La figura 1 muestra un teléfono móvil 100 típico con medios de entrada 101, que pueden tener la forma de botones físicos o botones virtuales visualizados en una pantalla 102. El teléfono móvil puede tener además medios procesadores (no mostrados), para ejecutar aplicaciones seguras, y medios de comunicación (no mostrados) para conectarse a otros dispositivos de comunicación móvil y/o Internet, o bien por cable o bien de manera inalámbrica.
Anteriormente se ha mostrado que puede hacerse que los pagos con tarjeta de crédito sean seguros y aprobados por EMV usando un dispositivo de lector de tarjetas especializado que puede unirse a un teléfono móvil de la manera presentada en la solicitud de patente internacional con el número de solicitud PCT/EP2010/066186 de la empresa iZettle. Sin embargo, no ha sido posible llevar a cabo un pago EMV autorizado por PIN desde un teléfono móvil no conectado a un dispositivo de lector de tarjetas de pago puesto que el dispositivo de entrada de PIN, en este caso el teléfono móvil, se ha considerado poco seguro. El principal problema de seguridad es la etapa de introducir un código PIN (o alguna otra información de identificación sensible tal como una firma o información biométrica) usando el teclado del teléfono móvil. Es un hecho muy conocido que los programas de software malicioso pueden infectar el teléfono móvil y de manera secreta registrar la información de identificación sensible introducida, tal como un código PIN introducido con el teclado del teléfono móvil, y después transmitirla a un tercero con intenciones delictivas.
En general, un pago EMV con el lector de tarjetas de pago y un teléfono móvil se aprueba generalmente fuera de
10
15
20
25
30
35
40
45
50
55
E12716222
02-11-2015
línea, con el chip de tarjeta EMV (insertado en el lector de tarjetas de pago) como referencia de código PIN, para adquirir velocidad. También es posible autorizar el pago EMV en línea, con el banco como referencia de PIN, en el que el código PIN se transfiere directamente al servidor de banco en un bloque de datos cifrado. El pago también puede llevarse a cabo y verificarse mediante la firma por escrito del usuario.
Sin embargo, los requisitos de seguridad (protección frente a intentos de manipular indebidamente el dispositivo para obtener acceso al código PIN) impiden que los teléfonos móviles modernos actúen como dispositivo de entrada de PIN seguro para la entrada de códigos PIN. Por tanto, hasta ahora no ha sido posible realizar pagos EMV autorizados con PIN seguros a menos que tanto el dispositivo de lector de tarjetas como el dispositivo de entrada de PIN sean dispositivos seguros. Sin embargo, la presente invención dada a conocer a continuación presenta un método y un sistema que permiten que un teléfono móvil convencional lleve a cabo un pago EMV autorizado por PIN seguro en combinación con el método de pago muy conocido dado a conocer en la solicitud de patente internacional con el número de solicitud PCT/EP2010/066186.
La figura 2 presenta un sistema de pago seguro 200 según una realización de la presente invención en el que puede usarse un teléfono móvil (dispositivo móvil 203) para llevar a cabo un pago con tarjeta de débito o crédito EMV autorizado con PIN seguro. Para entender mejor la presente invención, y las realizaciones de la misma, a continuación se presenta un ejemplo de cómo puede realizarse un pago con tarjeta de crédito en el sistema de pago seguro 200 novedoso.
Cuando el comprador se ha decidido a comprar un producto o a pagar un servicio, entra en contacto con un comerciante para completar el pago del producto o servicio. Por tanto en este caso el adquiriente de pago es el comerciante o la empresa del comerciante que recibirá el pago por el producto o servicio. Se ejecuta una aplicación de pago, y de este modo se iniciará 301 una transacción de pago electrónico con tarjeta de crédito 300 (véase método de pago con tarjeta de crédito en la figura 3), en el teléfono móvil 203 (el dispositivo del comerciante 202, 203), o bien antes de que se traspase del comerciante al comprador o bien cuando el comerciante introduzca el lector de tarjetas 202 en el dispositivo 203 (y por tanto forme un dispositivo del comerciante 202, 203).
El comerciante o el comprador introduce información de venta 301, que por ejemplo puede ser información sobre el producto y la cantidad de la compra (precio), en dicho dispositivo del comerciante. La información de venta también puede incluir información sobre la empresa que vende el producto o servicio, tal como información que se encuentra habitualmente en recibos, información de GPS que ubica la tienda o la posición geográfica del vendedor, la cuenta del vendedor en el servidor de pago 205, la cuenta del vendedor en el banco 207 o cualquier otra información que pueda usarse para identificar al vendedor y/o el lugar de venta. La información de venta también puede leerse usando un lector de código de barras, lector de infrarrojos o un lector de comunicación de campo cercano (NFC, near field communication), integrado en el teléfono móvil 203, directamente desde el producto (por ejemplo la etiqueta del producto) o de un catálogo que enumera los productos y sus precios. En otra variante, parte o toda la información de venta puede descargarse o autogenerarse desde uno o varios servidores conectados al dispositivo del comerciante 202, 203.
El comprador inserta su tarjeta de crédito EMV 201 en el lector de tarjetas de pago 303 (el dispositivo del comerciante 202, 203) y de este modo inicia una transacción de pago con tarjeta de crédito segura 300. El comerciante le pasa su teléfono móvil 203 con un lector de tarjetas de pago 202 unido al mismo (a continuación en el presente documento denominado dispositivo del comerciante 202, 203) al comprador. Al comprador se le pide que introduzca información de identificación de comprador 304 que por ejemplo podría ser información de contacto tal como su número de teléfono móvil o dirección de correo electrónico en la aplicación de pago, si el comprador no introdujo su número de teléfono o dirección de correo electrónico anteriormente. El número de teléfono y/o la dirección de correo electrónico se almacenan en el servidor de pago 205 y se asocian con la tarjeta de débito o crédito EMV 201. Si el número de teléfono o la dirección de correo electrónico se introdujo anteriormente (es decir, si anteriormente se realizó un pago en la tienda), el usuario, en una variante, puede no tener que introducir la misma información de nuevo, a menos que use una tarjeta de pago EMV diferente. El lector de tarjetas de pago 202 lee la información de tarjeta EMV cifrada 201.
El método para completar el pago será una verificación del PIN fuera de línea si la tarjeta de pago EMV 201 soporta la verificación del PIN fuera de línea 315, 316. En caso de que la tarjeta de pago EMV 201 no soporte la verificación del PIN fuera de línea, el método para completar el pago será la verificación del PIN en línea con el banco 207. Si por alguna razón no es posible una verificación del PIN fuera de línea o en línea, el método de verificación puede ser introducir una firma.
La información de identificación de comprador que debe introducir el comprador mediante la aplicación de pago que se ejecuta en el dispositivo del comerciante 202, también puede ser cualquiera de: el número de teléfono móvil del comprador, una dirección de correo electrónico, una dirección postal, un número de seguridad social, un código de un solo uso, una firma, un número de identificación previamente registrado, una fotografía (realizada por la cámara en el teléfono móvil 203), información biométrica (leída o escaneada mediante el teléfono móvil 203 o algún adaptador conectado al teléfono móvil 203) o cualquier otra información que haga posible identificar al comprador en cuestión.
10
15
20
25
30
35
40
45
50
55
E12716222
02-11-2015
En una primera realización el comprador verificará el pago usando su código PIN asociado con la tarjeta EMV 201 con la que está pagando, y por tanto el comprador, en la aplicación de pago, también recibirá un enlace a página web de entrada de PIN en el dispositivo móvil del comprador 208. Esta etapa es la misma tanto en el caso de aplicar una verificación del PIN en línea como fuera de línea. Como el comprador verificará el pago usando su código PIN asociado con la tarjeta EMV 201 se genera una petición de entrada de PIN mediante la aplicación de pago.
Cuando el comprador ha completado la tarea de introducir información de identificación de comprador 305, se transmite un mensaje de compra cifrado desde el dispositivo del comerciante 202, 203, de manera inalámbrica (o por cable) por Internet 204, a un servidor de pago 205. El mensaje de compra cifrado puede contener parte o toda la información cifrada siguiente:
la información de identificación de comprador,
la petición de entrada de PIN,
la información de venta y
la información de tarjeta de crédito cifrada
leída por el lector de tarjetas 202 desde la tarjeta EMV del comprador 201. En una variante sólo se cifran la información de identificación de comprador y la información de tarjeta de crédito y la petición de entrada de PIN y la información de venta se transmiten como texto sin formato al servidor de pago 205. La transmisión por Internet 204 puede cifrarse o no usando la técnica de capa de conexión segura convencional.
El servidor de pago 205 recibe el mensaje de compra cifrado 306 procedente del dispositivo del comerciante 202, 203 y descifra el contenido del mensaje de compra y almacena temporalmente la información de tarjeta de crédito cifrada y la información de venta.
En una variante de la realización de la presente invención el servidor de pago 205 puede verificar entonces que la información relativa a la cuenta del comerciante o bien en el servidor de pago 205 o bien en el servidor de banco 207 es legítima y no está en una lista negra por algún motivo. La verificación puede o bien realizarse con el servidor de banco 207 directamente o bien puede comprobarse con un registro en el servidor de pago 205 que puede actualizarse regularmente con el registro del servidor de banco 207.
La información de identificación de comprador (y/o la información de tarjeta de crédito) se usa para determinar información de contacto del comprador 307 registrada en el servidor de pago 205. La información de contacto del comprador puede ser por ejemplo una dirección de correo electrónico, un número de teléfono móvil, identificación de red social (tal como la identificación de Facebook o Linkedln) o cualquier otra información que puede usarse para ponerse en contacto con el comprador. En este ejemplo la información de identificación de comprador registrada previamente recibida es un número de teléfono móvil del teléfono móvil del comprador. En una variante la información de contacto del comprador se suministra en dicha información de identificación de comprador y no se almacena en dicho servidor de pago.
El servidor de pago 205 puede transmitir entonces una petición de código PIN 308 al dispositivo móvil del comprador 208 usando la información de contacto del comprador (por ejemplo el número de teléfono móvil). La transmisión de la petición de código PIN al dispositivo móvil del comprador 208 puede realizarse por Internet 204. La conexión a Internet puede ser por la red del teléfono móvil, Wi-Fi, o puede conectarse a una conexión de Internet de línea fija. La transmisión por Internet 204 puede estar o no cifrada usando la técnica de capa de conexión segura convencional.
En una variante, el servidor de pago 205 también puede verificar que la petición de entrada de PIN es legítima por ejemplo comparando las posiciones geográficas del dispositivo del comerciante y el teléfono móvil del comprador
208. Este enfoque requiere que tanto el dispositivo del comerciante 202, 203 como el dispositivo móvil 208 transmitan su ubicación al servidor de pago 205 para su comparación. El comprador puede por ejemplo iniciar el pago transmitiendo las coordenadas del dispositivo móvil 208 al servidor de pago 205, y las coordenadas del comerciante pueden o bien haberse registrado previamente en el servidor de pago 205 (una tienda habitualmente no cambia su ubicación tan a menudo) o bien estar incluidas en el mensaje de compra cifrado transmitido desde el dispositivo del comerciante 202, 203, de manera inalámbrica (o por cable) por Internet 204, al servidor de pago 205.
En una variante, la petición de código PIN puede contener información (tal como información de verificación escrita) para el comprador sobre que el código PIN no debe introducirse en caso de que el comprador haya sido el que ha iniciado la transacción de pago EMV de tarjeta segura.
Cuando la petición de código PIN se recibe en el dispositivo móvil del comprador 208, 3409 se lanza una aplicación de entrada de PIN segura. La aplicación de entrada de PIN segura que se ejecuta en el dispositivo móvil del comprador 208 puede implementarse como interfaz web cifrada que se cifra de manera única para cada evento de entrada de PIN. La interfaz web puede aparecer en una aplicación segura, que establece un canal de comunicación segura y cifrada entre el dispositivo móvil 208 y el servidor de pago 205, diferente del navegador web del teléfono
10
15
20
25
30
35
40
45
50
55
E12716222
02-11-2015
móvil para minimizar el riesgo de manipulación indebida del software. La aplicación de entrada de PIN segura puede ser en este caso un navegador web dedicado adaptado para descifrar el componente web de entrada de PIN y garantizar una entrada segura del código PIN 310.
En una variante, una página web de entrada de PIN segura (a continuación en el presente documento también denominada aplicación de entrada de PIN segura) en el dispositivo móvil del comprador 208 establece una conexión segura y cifrada con el servidor de pago 205 y cifrará el código PIN de manera asimétrica, usando la clave pública de la tarjeta de pago EMV 202.
Alternativamente, una aplicación de entrada de PIN segura puede ser una aplicación compilada, lanzada en el dispositivo móvil 208 del comprador de lo contrario poco seguro, que se ejecuta en el sistema operativo del dispositivo móvil. El sistema operativo del teléfono móvil puede ser cualquiera de iOS, Android, Windows Phone, Linux u otro SO de teléfono móvil. La aplicación de entrada de PIN segura en el dispositivo móvil del comprador 208 establece una conexión segura y cifrada con el servidor de pago 205.
La aplicación de entrada de PIN segura lanzada en el dispositivo móvil del comprador 208 crea un entorno seguro en el teléfono móvil usando por ejemplo una técnica de entorno de pruebas basada en web. De este modo el comprador puede introducir de manera segura su código PIN 311 sin el riesgo de que el programa de un tercero malicioso lo intercepte. La representación real de números y/o letras en la aplicación de entrada de PIN puede crearla de manera única para el evento el servidor de pago, usando una clave segura tal como la clave pública de la tarjeta de pago EMV 201, y no se reutilizará, lo que significa que incluso si la comunicación entre la aplicación de entrada de PIN en el dispositivo móvil 208 y el servidor de pago 205 se intercepta y descifra, los números y/o letras sólo tienen sentido cuando se combinan con una clave segura en el servidor de pago 205.
El comprador también puede estar asociado o contribuir con cierta información de seguridad, tal como la ubicación geográfica actual del dispositivo móvil del comprador 208, un ID de transacción, el número IMEI del dispositivo móvil, el número MSISDN, el número de seguridad social, la firma, información biométrica y/u otra información de seguridad que puede ser única para el usuario. Si la ubicación geográfica del dispositivo del comerciante 202, 203 se almacena o conoce en el servidor de pago 205 (véase más arriba con respecto a cómo puede conseguirse), las posiciones del dispositivo del comerciante y el teléfono móvil del comprador pueden compararse para garantizar que el pago se completa en la misma ubicación o en ubicaciones previamente aprobadas.
El código PIN introducido por el comprador en la aplicación de entrada de PIN segura lanzada en el dispositivo móvil del comprador 208 se cifra en un bloque de código PIN. Si va a transmitirse más información que el código PIN al servidor de pago 205, 312, la información de seguridad de comprador se cifra por separado en el momento de la entrada y no se envía en el mismo paquete al servidor de pago 205. El bloque de código PIN cifrado se transmite desde el dispositivo móvil del comprador 208 al servidor de pago 312 por Internet 204. El cifrado usado en el dispositivo móvil 208 puede cumplir con los requisitos de las normas de seguridad a nivel mundial de la transferencia en línea de detalles de tarjetas de crédito. El cifrado puede mejorarse adicionalmente usando la técnica de capa de conexión segura para la transmisión por Internet 204.
El servidor de pago 205 recibe el bloque de código PIN cifrado 313 y, si está disponible, la información de seguridad de comprador desde el dispositivo móvil 208. El servidor de pago 205 descifra y almacena la información de seguridad de comprador, si está presente. En una variante, el servidor de pago 205 puede comparar la información de seguridad de comprador con información de seguridad de comprador ya almacenada o con la información de identificación de comprador para determinar si el comprador es legítimo o no.
La verificación del código PIN puede realizarse o bien en línea con el banco o bien fuera de línea 314 con la información almacenada en la tarjeta de crédito en el lector de tarjetas de crédito del comerciante. El realizar una verificación en línea o fuera de línea puede determinarse de diferentes maneras 314. Una manera es que se decide (por ejemplo se elige desde un menú o basándose en información de conectividad del servidor de pago) en el dispositivo del comerciante 202, 203 cuando se inicia el pago o puede decidirse automáticamente en el servidor de pago 205 (dependiendo de la conectividad actual al servidor de banco 207 o dependiendo de una configuración en el servidor de pago 205).
En caso de que se determine que la verificación del código PIN será una verificación fuera de línea 315, el servidor de pago 205 enviará el bloque de código PIN cifrado al lector de tarjetas del comerciante 202 para la verificación usando el chip seguro en la tarjeta de pago EMV 201. El bloque de código PIN se descifra en dicho lector de tarjetas y se verifica con la información de PIN en dicha tarjeta de crédito insertada. El método de cifrado usado en la transmisión cumple con los requisitos de las normas de seguridad a nivel mundial de la transferencia en línea de detalles de tarjetas de crédito.
En caso de que el código PIN se verifique en la tarjeta de crédito, todavía es necesario verificar la cantidad de la compra con la cuenta del banco en un servidor de banco 207. La verificación de la cantidad de la compra se lleva a cabo enviando la información de venta con la cantidad de la compra desde el dispositivo del comerciante 202, 203 al servidor de pago 205, donde se lleva a cabo la autorización de la cantidad enviando la información de tarjeta de crédito y la información de venta en un formato cifrado por una comunicación de capa de conexión segura con un
10
15
20
25
30
35
E12716222
02-11-2015
método de cifrado que cumple con los requisitos de las normas de seguridad a nivel mundial de la transferencia en línea de información de tarjetas de débito o crédito, al servidor de banco 207. El servidor de banco 207 verifica si la cantidad de la compra puede cargarse o no, y transmite un mensaje de verificación de compra 317 por una comunicación de capa de conexión segura de vuelta al servidor de pago 205, 318.
En caso de que se determine que la verificación del código PIN será una verificación en línea 316, el servidor de pago 205 transmitirá el bloque de código PIN cifrado previamente recibido y almacenado, información de venta junto con la información de tarjeta de crédito, al servidor de banco 207 para su verificación en línea. La transmisión se cifra con un método que cumple con los requisitos de las normas de seguridad a nivel mundial de la transferencia en línea de detalles de tarjetas de crédito a través de una capa de conexión segura. El servidor de banco 207 recibe la información de tarjeta de crédito cifrada, información de venta (con la cantidad de la compra) y el bloque de código PIN cifrado, los descifra, y verifica el código PIN. El servidor de banco 207 completa la verificación en línea transmitiendo un mensaje de verificación 317 al servidor de pago 205, 318 con una verificación que manifiesta que el código PIN se ha aprobado. La comunicación con el servidor de banco 207 se produce según la norma EMV lo que significa que interacciona con el banco. La información de venta se transfiere al banco como una parte de la comunicación para verificar la cantidad de la compra con la cuenta bancaria del comprador y el bloque de PIN cifrado y la información de tarjeta de crédito como otra parte de la comunicación. El banco responde que la información de venta (la cantidad) puede cargarse como una parte de la comunicación y que el bloque de PIN y la información de tarjeta de crédito es correcta, como otra.
Cuando el servidor de pago 205 ha recibido las verificaciones con respecto al código PIN y la cantidad, el servidor de pago 205 genera un mensaje de recepción 319 como prueba de la transacción. El comprador y el comerciante obtendrán entonces el mensaje de recepción, transmitiéndose dicho mensaje de recepción a dicho dispositivo móvil del comprador y dicho dispositivo del comerciante a través de dicho servidor de pago 320, informándoles de que la transacción se ha aprobado mediante uno o varios de los siguientes: en una aplicación dedicada, por SMS, por MMS, por correo electrónico, por mensajería instantánea o cualquier otro método de comunicación al que pueda accederse desde un teléfono móvil 203, 208. El mensaje de recepción enviado desde el servidor de pago 205 se visualiza en la pantalla del dispositivo 321, cuando lo reciben el dispositivo del comerciante 202, 203 y el dispositivo móvil del comprador 208, indicando por tanto que el pago se ha recibido y que es correcto.
Si alguna de las etapas de verificación mencionadas anteriormente en la descripción anterior no funciona, se rechaza o es errónea, se genera un mensaje de error y se transmite al dispositivo del comerciante o al dispositivo móvil del comprador 208, o a ambos, y se termina o interrumpe el proceso de pago.
El mensaje de recepción también puede almacenarse en el servidor de pago 205 y el comprador y/o el comerciante pueden acceder al mismo en un momento posterior usando por ejemplo un navegador web que se conecta al servidor de pago 205. También puede accederse al mensaje de recepción ordenándolo desde (por tanto el servidor de pago lo enviaría) o accediendo directamente al mismo en el servidor de pago 205 usando el dispositivo del comerciante o el dispositivo móvil del comprador 208.

Claims (8)

  1. REIVINDICACIONES
    1.
    Método para llevar a cabo pagos electrónicos con tarjeta de crédito a un adquiriente de pago usando un
    dispositivo del comerciante (202, 203), un dispositivo móvil del comprador (208), un servidor de pago (205)
    y un servidor de banco (207), comprendiendo el dispositivo del comerciante un lector de tarjetas (202) y un
    5
    teléfono móvil (203), comprendiendo dicho método:
    -iniciar una transacción de pago electrónico con tarjeta de crédito ejecutando una aplicación de pago en
    dicho dispositivo del comerciante (301);
    -introducir información de venta en dicho dispositivo del comerciante (302);
    -introducir una tarjeta de crédito (201) en dicho lector de tarjetas de dicho dispositivo del comerciante (303);
    10
    -introducir información de identificación de comprador y generar una petición de entrada de número de
    identificación personal (PIN) en dicho dispositivo del comerciante (304);
    -transmitir un mensaje de compra cifrado desde dicho dispositivo del comerciante a dicho servidor de pago,
    en el que dicho mensaje de compra cifrado comprende una petición de entrada de PIN y al menos una de
    información de venta, información de identificación de comprador e información de tarjeta de crédito cifrada
    15
    leída desde dicha tarjeta de crédito en dicho lector de tarjetas (305);
    -recibir y descifrar dicho mensaje de compra cifrado en dicho servidor de pago (306);
    -determinar, en el servidor de pago, dicha información de contacto del comprador usando dicha información
    de identificación del comprador en dicho mensaje de compra cifrado descifrado (307);
    -transmitir, desde dicho servidor de pago, una petición de código PIN a dicho dispositivo móvil del
    20
    comprador basándose en dicha información de contacto del comprador (308);
    -recibir dicha petición de código PIN en dicho dispositivo móvil del comprador, y lanzar una aplicación de
    entrada de PIN segura en dicho dispositivo móvil del comprador (309);
    -introducir un código PIN en dicha aplicación de entrada de PIN segura (310);
    -cifrar el código PIN en un bloque de código PIN, en el dispositivo móvil del comprador;
    25
    -transmitir dicho bloque de código PIN que comprende dicho código PIN cifrado desde dicho dispositivo
    móvil del comprador a dicho servidor de pago (312);
    -recibir dicho bloque de código PIN en dicho servidor de pago (313);
    -determinar, en dicho servidor de pago, si va a realizarse una verificación de dicho código PIN fuera de
    línea o en línea (314); en caso de que se determine que la verificación del código PIN es una verificación
    30
    fuera de línea (315), realizar las etapas de:
    i. transmitir dicho bloque de código PIN desde dicho servidor de pago a dicho lector de tarjetas de dicho
    dispositivo del comerciante;
    ii. descifrar, en dicho lector de tarjetas de dicho dispositivo del comerciante, dicho bloque de código PIN y
    verificar dicho bloque de código PIN con información de PIN en dicha tarjeta de crédito;
    35
    iii. transmitir información de venta desde dicho dispositivo del comerciante a dicho servidor de pago;
    iv. transmitir dicha información de tarjeta de crédito y dicha información de venta desde dicho servidor de
    pago a dicho servidor de banco; y
    v. verificar dicha información de tarjeta de crédito e información de venta en dicho servidor de banco;
    en caso de que se determine que la verificación del código PIN es una verificación en línea (316), realizar
    40
    las etapas de:
    i. transmitir dicho bloque de código PIN, dicha información de tarjeta de crédito y dicha información de venta
    desde dicho servidor de pago a dicho servidor de banco; y
    ii. verificar dicho código PIN, dicha información de tarjeta de crédito y dicha información de venta en dicho
    servidor de banco;
    45
    -producir un mensaje de verificación en dicho servidor de banco basándose en dicha verificación (317);
    8
    -transmitir dicho mensaje de verificación desde dicho servidor de banco a dicho servidor de pago (318);
    -generar un mensaje de recepción en dicho servidor de pago basándose en el mensaje de verificación recibido (319);
    -transmitir dicho mensaje de recepción a dicho dispositivo móvil del comprador y dicho dispositivo del 5 comerciante a través de dicho servidor de pago (320); y
    -visualizar dicho mensaje de recepción en dicho dispositivo móvil del comprador y en dicho dispositivo del comerciante completando dicho pago electrónico (321) con tarjeta de débito o crédito.
  2. 2. Método para llevar a cabo pagos electrónicos con tarjeta de crédito según la reivindicación 1, en el que la etapa de introducir código PIN en dicha aplicación de entrada de PIN segura también comprende:
    10 -introducir información de seguridad de comprador; y
    -cifrar dicha información de seguridad de comprador e incluirla en dicho bloque de código PIN.
  3. 3. Método para llevar a cabo pagos electrónicos con tarjeta de crédito según la reivindicación 2, en el que la etapa de recibir dicho bloque de código PIN en dicho servidor de pago también comprende:
    -descifrar dicha información de seguridad de comprador en dicho servidor de pago, y
    15 -verificar dicha información de seguridad de comprador con dicha información de identificación de comprador.
  4. 4. Método para llevar a cabo pagos electrónicos con tarjeta de crédito según cualquiera de las reivindicaciones anteriores, en el que dicha información de identificación de comprador puede ser cualquiera de: el número de teléfono móvil del comprador, una dirección de correo electrónico, una
    20 dirección postal, un número de seguridad social, una firma, un código de un solo uso, un número de identificación previamente registrado, una fotografía e información biométrica.
  5. 5. Método para llevar a cabo pagos electrónicos con tarjeta de crédito según cualquiera de las reivindicaciones anteriores, en el que dicha etapa de lanzar una aplicación de entrada de PIN segura en dicho dispositivo móvil del comprador implica lanzar una interfaz web cifrada que se cifra de manera única
    25 para cada evento de entrada de PIN, o un navegador web dedicado que puede descifrar el componente web de entrada de PIN y garantizar una entrada segura del código PIN.
  6. 6. Método para llevar a cabo pagos electrónicos con tarjeta de crédito según cualquiera de las reivindicaciones anteriores, en el que dicha transmisión entre dicho dispositivo del comerciante y dicho servidor de pago, entre dicho servidor de pago y dicho dispositivo móvil del comprador, y entre dicho
    30 servidor de pago y dicho servidor de banco se cifra usando una comunicación de capa de conexión segura convencional.
  7. 7. Método para llevar a cabo pagos electrónicos con tarjeta de crédito según cualquiera de las reivindicaciones anteriores, en el que dicho mensaje de recepción se almacena en el servidor de pago, y es accesible por el comprador y/o el comerciante usando un navegador web, el dispositivo del comerciante o el
    35 dispositivo móvil del comprador.
  8. 8. Sistema (200) para llevar cabo pagos electrónicos con tarjeta de crédito que comprende un dispositivo del comerciante (202, 203) que comprende un lector de tarjetas (202) y un teléfono móvil (203), un servidor de pago (205), un teléfono móvil del comprador (208) y un servidor de banco (207), en el que dicho dispositivo del comerciante, servidor de pago, dispositivo del comprador y servidor de banco tienen medios
    40 transceptores y medios procesadores para llevar a cabo las etapas indicadas en las reivindicaciones 1-7.
    9
ES12716222.0T 2012-02-07 2012-03-13 Comprobación de PIN en una red "Hub and Spoke" Active ES2552048T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201261595867P 2012-02-07 2012-02-07
US201261595867P 2012-02-07
PCT/EP2012/001114 WO2013087126A1 (en) 2012-02-07 2012-03-13 Hub and spokes pin verification

Publications (1)

Publication Number Publication Date
ES2552048T3 true ES2552048T3 (es) 2015-11-25

Family

ID=48611864

Family Applications (1)

Application Number Title Priority Date Filing Date
ES12716222.0T Active ES2552048T3 (es) 2012-02-07 2012-03-13 Comprobación de PIN en una red "Hub and Spoke"

Country Status (12)

Country Link
US (1) US8868462B2 (es)
EP (1) EP2622585B1 (es)
JP (1) JP5940176B2 (es)
KR (1) KR101617569B1 (es)
CN (1) CN104145297B (es)
AU (1) AU2012370407B2 (es)
BR (1) BR112013005236A2 (es)
DK (1) DK2622585T5 (es)
ES (1) ES2552048T3 (es)
IN (1) IN2014DN06790A (es)
MX (1) MX2013002598A (es)
WO (1) WO2013087126A1 (es)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10185957B2 (en) 2012-06-12 2019-01-22 Square, Inc. Software pin entry
US10373149B1 (en) * 2012-11-12 2019-08-06 Square, Inc. Secure data entry using a card reader with minimal display and input capabilities having a display
GB2512615A (en) * 2013-04-03 2014-10-08 Cloudzync Ltd Secure communications channel
US20140358794A1 (en) * 2013-06-04 2014-12-04 Ncr Corporation Techniques for credit card processing
US9773240B1 (en) 2013-09-13 2017-09-26 Square, Inc. Fake sensor input for passcode entry security
US9613356B2 (en) 2013-09-30 2017-04-04 Square, Inc. Secure passcode entry user interface
US9928501B1 (en) 2013-10-09 2018-03-27 Square, Inc. Secure passcode entry docking station
US20150134539A1 (en) * 2013-11-12 2015-05-14 Shashi Kapur System and method of processing point-of-sale payment transactions via mobile devices
EP2874421A1 (en) * 2013-11-13 2015-05-20 Gemalto SA System and method for securing communications between a card reader device and a remote server
US9613353B1 (en) 2013-12-26 2017-04-04 Square, Inc. Passcode entry through motion sensing
CN104751202A (zh) * 2013-12-30 2015-07-01 鸿富锦精密工业(深圳)有限公司 信息投递处理系统
US20160335636A1 (en) * 2014-01-27 2016-11-17 Tong Shao Dual-Channel Identity Authentication Selection Device, System and Method
SG2014011308A (en) * 2014-02-11 2015-09-29 Smart Communications Inc Authentication system and method
CN103810591A (zh) * 2014-02-28 2014-05-21 国家电网公司 一种手机购电方法及其便携式读写卡器
US10032168B2 (en) * 2014-03-07 2018-07-24 Fmr Llc Secure validation of financial transactions
SG10201401206TA (en) * 2014-04-02 2015-11-27 Smart Communications Inc System and method for facilitating electronic transaction
FR3020164B1 (fr) * 2014-04-18 2020-10-16 Compagnie Ind Et Financiere Dingenierie Ingenico Module d'emulation d'au moins une carte de paiement, procede, dispositif de paiement, produit programme d'ordinateur et medium de stockage correspondants
FR3023640B1 (fr) * 2014-07-10 2016-08-12 Roam Data Inc Procede de gestion d'une transaction, serveur, produit programme d'ordinateur et medium de stockage correspondants.
US9009468B1 (en) * 2014-08-26 2015-04-14 MagicCube, Inc. System for transaction authentication
US9378502B2 (en) 2014-09-23 2016-06-28 Sony Corporation Using biometrics to recover password in customer mobile device
US9317847B2 (en) 2014-09-23 2016-04-19 Sony Corporation E-card transaction authorization based on geographic location
US9355424B2 (en) 2014-09-23 2016-05-31 Sony Corporation Analyzing hack attempts of E-cards
US9953323B2 (en) 2014-09-23 2018-04-24 Sony Corporation Limiting e-card transactions based on lack of proximity to associated CE device
US9558488B2 (en) 2014-09-23 2017-01-31 Sony Corporation Customer's CE device interrogating customer's e-card for transaction information
US9292875B1 (en) 2014-09-23 2016-03-22 Sony Corporation Using CE device record of E-card transactions to reconcile bank record
US9202212B1 (en) * 2014-09-23 2015-12-01 Sony Corporation Using mobile device to monitor for electronic bank card communication
US9367845B2 (en) 2014-09-23 2016-06-14 Sony Corporation Messaging customer mobile device when electronic bank card used
US10262316B2 (en) 2014-09-23 2019-04-16 Sony Corporation Automatic notification of transaction by bank card to customer device
US9646307B2 (en) 2014-09-23 2017-05-09 Sony Corporation Receiving fingerprints through touch screen of CE device
KR101550825B1 (ko) * 2015-05-15 2015-09-10 김현민 무선단말을 이용한 카드 결제방법
US10366392B2 (en) 2017-01-12 2019-07-30 Bank Of America Corporation Marker code generation for resource distribution authority flagging
WO2018234850A1 (en) * 2017-06-21 2018-12-27 Hakim Massimo Method and system for performing payments or economic transactions
US10755262B1 (en) * 2019-10-15 2020-08-25 Capital One Services, Llc System, method, and computer-accessible medium for blocking malicious EMV transactions
CN115315924A (zh) * 2020-03-05 2022-11-08 维萨国际服务协会 使用移动装置在访问控制服务器处进行用户认证
EP4371324A4 (en) * 2021-07-16 2024-08-07 Stripe, Inc. SYSTEM AND METHOD FOR ENTERING A PERSONAL IDENTIFICATION NUMBER INTO A STANDARD COMMERCIAL COMMUNICATION DEVICE
CN120981825A (zh) * 2023-04-21 2025-11-18 维萨国际服务协会 用于安全个人标识号输入的动态加密
US12438873B2 (en) 2023-08-10 2025-10-07 Bank Of America Corporation System and method for authentication of device transfers in a distributed network

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5812668A (en) * 1996-06-17 1998-09-22 Verifone, Inc. System, method and article of manufacture for verifying the operation of a remote transaction clearance system utilizing a multichannel, extensible, flexible architecture
US6098053A (en) * 1998-01-28 2000-08-01 Citibank, N.A. System and method for performing an electronic financial transaction
JP2001306987A (ja) * 2000-04-25 2001-11-02 Nec Corp 携帯電話機によるカード利用承認方法、カード決済システム及び装置
US20020038287A1 (en) * 2000-08-30 2002-03-28 Jean-Marc Villaret EMV card-based identification, authentication, and access control for remote access
US20020147913A1 (en) * 2001-04-09 2002-10-10 Lun Yip William Wai Tamper-proof mobile commerce system
US7143069B2 (en) * 2001-05-25 2006-11-28 American Express Travel Related Services Co. System and method for interactive secure dialog between card holder and issuer
KR100420600B1 (ko) 2001-11-02 2004-03-02 에스케이 텔레콤주식회사 아이알에프엠을 이용한 이엠브이 지불 처리방법
JP2003168063A (ja) * 2001-11-30 2003-06-13 Hitachi Ltd カード決済方法における決済承認方法及びシステム
JP2003186837A (ja) * 2001-12-19 2003-07-04 Ntt Advanced Technology Corp ワンタイムパスワード認証装置及び方法、ならびにその認証プログラム
US9286635B2 (en) * 2002-02-05 2016-03-15 Square, Inc. Method of transmitting information from efficient communication protocol card readers to mobile devices
JP2003337917A (ja) * 2002-05-22 2003-11-28 Interpress:Kk 携帯端末による本人確認システム
GB2396472A (en) * 2002-12-18 2004-06-23 Ncr Int Inc System for cash withdrawal
DE102005005378A1 (de) * 2004-09-14 2006-03-30 Wincor Nixdorf International Gmbh Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen
EP1752937A1 (en) * 2005-07-29 2007-02-14 Research In Motion Limited System and method for encrypted smart card PIN entry
EP2016542A1 (en) * 2006-05-10 2009-01-21 Worldwide Gpms Ltd. Process and system for confirming transactions by means of mobile units
KR100837828B1 (ko) * 2006-12-08 2008-06-13 와이즈와이어즈(주) 이동통신 단말기를 이용한 결제 방법 및 시스템
SE532268C2 (sv) * 2007-12-04 2009-11-24 Accumulate Ab Förfarande för säkra transaktioner
SK288757B6 (sk) * 2008-09-19 2020-05-04 Smk Kk Systém a spôsob bezkontaktnej autorizácie pri platbe
LU91488B1 (en) 2008-10-17 2010-04-19 Robert Carter Multifactor Authentication
US9367834B2 (en) * 2010-01-22 2016-06-14 Iii Holdings 1, Llc Systems, methods, and computer products for processing payments using a proxy card
MX2013000279A (es) * 2010-07-09 2013-08-21 Izettle Merchant Services Ab Sistema para pago seguro sobre una red de comunicacion inalambrica.
US8583496B2 (en) * 2010-12-29 2013-11-12 Boku, Inc. Systems and methods to process payments via account identifiers and phone numbers

Also Published As

Publication number Publication date
EP2622585B1 (en) 2015-08-05
HK1188640A1 (en) 2014-05-09
DK2622585T3 (en) 2015-11-09
AU2012370407A1 (en) 2013-09-12
AU2012370407B2 (en) 2014-06-12
MX2013002598A (es) 2013-11-05
KR20140119792A (ko) 2014-10-10
WO2013087126A1 (en) 2013-06-20
US8868462B2 (en) 2014-10-21
BR112013005236A2 (pt) 2016-05-03
EP2622585A1 (en) 2013-08-07
DK2622585T5 (en) 2017-01-23
US20140025579A1 (en) 2014-01-23
CN104145297B (zh) 2016-08-17
JP5940176B2 (ja) 2016-06-29
CN104145297A (zh) 2014-11-12
JP2015513337A (ja) 2015-05-07
KR101617569B1 (ko) 2016-05-18
IN2014DN06790A (es) 2015-05-22

Similar Documents

Publication Publication Date Title
ES2552048T3 (es) Comprobación de PIN en una red "Hub and Spoke"
US10959093B2 (en) Method and system for provisioning access data to mobile device
US20210044974A1 (en) Method and system for provisioning access data to mobile device
US10135614B2 (en) Integrated contactless MPOS implementation
US20140143155A1 (en) Electronic payment method, system and device for securely exchanging payment information
EP3022700B1 (en) Secure remote payment transaction processing
ES2498893T3 (es) Dispositivo autónomo de entrada segura de PIN para habilitar transacciones con tarjeta EMV con lector de tarjetas separado
TWI587225B (zh) 安全支付方法、行動裝置及安全支付系統
US20150302409A1 (en) System and method for location-based financial transaction authentication
JP2020005260A (ja) 認証システム及び方法
US8620824B2 (en) Pin protection for portable payment devices
CN115358746A (zh) 包括消费者认证的安全远程支付交易处理
KR20150026233A (ko) 디지털 카드 기반의 결제 시스템 및 방법
US20170024742A1 (en) Methods and systems for using a consumer identity to perform electronic transactions
ES2803250T3 (es) Método y sistema de aprovisionamiento de datos de acceso a dispositivos móviles
WO2015062232A1 (en) Information transmission method, apparatus and system
ES2884032T3 (es) Procedimiento de procesamiento de datos de transacción, terminal de comunicación, lector de tarjetas y programa correspondiente
US20210390546A1 (en) Systems and Methods for Secure Transaction Processing
ES2971660T3 (es) Procedimiento para llevar a cabo una transacción, terminal, servidor y programa informático correspondiente
HK1188640B (en) Hub and spokes pin verification