ES2749625T3 - Methods and systems to provide payment credentials - Google Patents

Methods and systems to provide payment credentials Download PDF

Info

Publication number
ES2749625T3
ES2749625T3 ES14797103T ES14797103T ES2749625T3 ES 2749625 T3 ES2749625 T3 ES 2749625T3 ES 14797103 T ES14797103 T ES 14797103T ES 14797103 T ES14797103 T ES 14797103T ES 2749625 T3 ES2749625 T3 ES 2749625T3
Authority
ES
Spain
Prior art keywords
mobile device
payment
secure element
credentials
sale
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14797103T
Other languages
Spanish (es)
Inventor
Horatio Nelson Huxham
Alan Joseph O'regan
Tara Anne Moss
Wyk Hough Arie Van
John Foxe Sheets
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visa International Service Association
Original Assignee
Visa International Service Association
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visa International Service Association filed Critical Visa International Service Association
Priority claimed from PCT/IB2014/061471 external-priority patent/WO2014184771A1/en
Application granted granted Critical
Publication of ES2749625T3 publication Critical patent/ES2749625T3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Un método para proporcionar a una aplicación de cartera digital en un dispositivo móvil (112, 212, 316, 931) con credenciales de pago que la aplicación de cartera digital carecía antes de la provisión, siendo las credenciales de pago usables por el dispositivo móvil (112, 212, 316, 931) en la realización de un pago sin contacto, realizándose el método en un sistema de provisión (140, 240, 340, 901) y comprendiendo las etapas de: recepción (402, 422, 704) de credenciales de pago desde un punto de venta o dispositivo de ATM (120, 222, 320, 920) en un mensaje de transacción financiera, habiéndose obtenido las credenciales de pago por el punto de venta o dispositivo de ATM (120, 222, 320, 920) desde un dispositivo de pago portátil (114, 214, 314, 905) a través de una interfaz de comunicaciones con o sin contacto del punto de venta o dispositivo de ATM (120, 222, 320, 920) presentándose el dispositivo de pago portátil (114, 214, 314, 905) por un consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920); recepción (404, 424, 704), desde el punto de venta o dispositivo de ATM (120, 222, 320, 920), de un identificador introducido por el consumidor en el mensaje de transacción financiera; identificación (406, 430, 705) de un dispositivo móvil (112, 212, 316, 931) o un elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931) que corresponde al identificador; y comunicación (410, 432, 707) de las credenciales de pago al dispositivo móvil identificado (112, 212, 316, 931) o el elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931), provocando que las credenciales de pago se almacenen de forma segura en el elemento seguro (113) del dispositivo móvil (112, 212, 316, 931), siendo el elemento seguro (113) uno del grupo de: un elemento seguro (113) proporcionado en el dispositivo móvil (112, 212, 316, 931), un elemento seguro (113) embebido en una capa (318) que se sitúa entre un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931) y una interfaz de componente de comunicación del dispositivo móvil (112, 212, 316, 931), y un elemento seguro (113) proporcionado en un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931).A method of providing a digital wallet application on a mobile device (112, 212, 316, 931) with payment credentials that the digital wallet application lacked prior to provisioning, the payment credentials being usable by the mobile device ( 112, 212, 316, 931) in making a contactless payment, the method being performed in a provisioning system (140, 240, 340, 901) and comprising the steps of: receiving (402, 422, 704) credentials payment from a point of sale or ATM device (120, 222, 320, 920) in a financial transaction message, having obtained the payment credentials by the point of sale or ATM device (120, 222, 320, 920 ) from a portable payment device (114, 214, 314, 905) through a communication interface with or without contact of the point of sale or ATM device (120, 222, 320, 920) presenting the portable payment device (114, 214, 314, 905) by a consumer at the point of v ent or ATM device (120, 222, 320, 920); reception (404, 424, 704), from the point of sale or ATM device (120, 222, 320, 920), of an identifier entered by the consumer in the financial transaction message; identification (406, 430, 705) of a mobile device (112, 212, 316, 931) or a secure element (113) in the mobile device (112, 212, 316, 931) that corresponds to the identifier; and communication (410, 432, 707) of the payment credentials to the identified mobile device (112, 212, 316, 931) or the secure element (113) on the mobile device (112, 212, 316, 931), causing payment credentials are securely stored in the secure element (113) of the mobile device (112, 212, 316, 931), the secure element (113) being one of the group of: a secure element (113) provided in the mobile device (112, 212, 316, 931), a secure element (113) embedded in a layer (318) that is located between a communication component (317) of the mobile device (112, 212, 316, 931) and a communication component interface of the mobile device (112, 212, 316, 931), and a secure element (113) provided in a communication component (317) of the mobile device (112, 212, 316, 931).

Description

DESCRIPCIÓNDESCRIPTION

Métodos y sistemas para proporcionar credenciales de pagoMethods and systems to provide payment credentials

Campo de la invenciónField of the Invention

Esta solicitud se refiere al campo de provisión de credenciales de pago usables por un dispositivo móvil.This request refers to the field of provision of payment credentials usable by a mobile device.

AntecedentesBackground

A medida que más comerciantes están adoptando terminales punto de venta que son capaces de realizar transacciones con dispositivos móviles, es mucho más probable que consumidores sustituyan sus carteras físicas con aplicaciones de cartera digital que se ejecutan en sus dispositivos móviles (por ejemplo, teléfonos móviles). Transacciones con aplicaciones de cartera digital ejecutándose en un dispositivo móvil pueden ser sin contacto, por ejemplo, usando capacidades de comunicación de campo cercano (NFC) del dispositivo móvil.As more merchants are adopting point-of-sale terminals that are capable of transacting with mobile devices, consumers are much more likely to replace their physical wallets with digital wallet applications running on their mobile devices (eg, mobile phones). . Transactions with digital wallet applications running on a mobile device may be contactless, for example, using the near field communication (NFC) capabilities of the mobile device.

Transacciones de pago sin contacto proporcionan una comodidad significativa a consumidores ya que permiten que los consumidores compren más rápida y cómodamente que en un entorno basado en contacto. En una transacción de pago sin contacto, un consumidor lleva un dispositivo de pago portátil de usuario con capacidad sin contacto (CPPD) tal como una tarjeta inteligente sin contacto o un teléfono móvil en proximidad cercana con un terminal de aceptación. Información tal como credenciales de pago se intercambia entre el CPPD sin contacto y el terminal de aceptación de una manera inalámbrica para efectuar la transacción de pago sin requerir contacto físico directo entre el CPPD sin contacto y el terminal de aceptación. En algunos casos, el CPPD sin contacto y el terminal de aceptación no están coubicados, sino que pueden estar en diferentes ubicaciones, por ejemplo, en diferentes ciudades o países. En un caso de este tipo la información se transmite entre el CPPD sin contacto y el terminal de aceptación a través de, por ejemplo, la Internet.Contactless payment transactions provide significant convenience to consumers by allowing consumers to shop faster and more comfortably than in a contact-based environment. In a contactless payment transaction, a consumer carries a contactless capable user portable payment device (CPPD) such as a contactless smart card or a mobile phone in close proximity to an acceptance terminal. Information such as payment credentials is exchanged between the contactless CPPD and the accepting terminal in a wireless manner to effect the payment transaction without requiring direct physical contact between the contactless CPPD and the accepting terminal. In some cases, the contactless CPPD and the acceptance terminal are not co-located, but may be in different locations, for example, in different cities or countries. In such a case the information is transmitted between the contactless CPPD and the accepting terminal via, for example, the Internet.

A menudo se requiere por diversas normas o autoridades de cumplimiento que un dispositivo móvil que se emplea como un CPPD sin contacto contenga un elemento seguro. Un elemento seguro de este tipo no es diferente a un circuito integrado seguro usado en CPPD convencionales, tal como tarjetas con circuito integrado seguro. Los elementos seguros que están en comunicación con los dispositivos móviles habitualmente proporcionan una memoria segura y procesador seguro que están separados de la memoria y procesador de dispositivo móvil y pueden accederse únicamente por aplicaciones confiables, a menudo únicamente después de que se ha introducido correctamente un número de identificación personal (PIN) especificado. Los dispositivos móviles en los que se disponen o embeben tales elementos seguros a menudo están equipados con interfaces de comunicaciones de proximidad tal como, por ejemplo, comunicaciones de campo cercano (NFC).A mobile device that is used as a contactless CPPD is often required by various standards or compliance authorities to contain a secure element. Such a secure element is no different than a secure integrated circuit used in conventional CPPDs, such as cards with a secure integrated circuit. Secure elements that are in communication with mobile devices typically provide secure memory and secure processor that are separate from mobile device memory and processor and can only be accessed by trusted applications, often only after a number has been entered correctly. specified personal identification (PIN). Mobile devices in which such secure elements are arranged or embedded are often equipped with proximity communication interfaces such as, for example, near field communications (NFC).

Es en esta memoria segura que puede almacenarse información, tal como credenciales de pago. En algunos casos, la provisión de tales credenciales de pago a la memoria segura del dispositivo móvil puede ser a través de los métodos de durante comunicaciones aéreas (OTA) que se originan desde un gestor de servicios confiable (TSM). Tales TSM se operan habitualmente desde centros de datos seguros de tal forma que el proceso cumple con las normas de seguridad impuestas por normas pertinentes o autoridades de cumplimiento.It is in this secure memory that information, such as payment credentials, can be stored. In some cases, the provision of such payment credentials to the secure memory of the mobile device may be through over the air communications (OTA) methods originating from a trusted service manager (TSM). Such TSMs are typically operated from secure data centers in such a way that the process complies with security standards imposed by relevant standards or compliance authorities.

La provisión de aplicaciones de cartera digital en dispositivos móviles puede ser una tarea complicada. Por ejemplo, para provisión un dispositivo móvil con las credenciales para realizar transacciones sin contacto tal como transacciones de pago sin contacto, puede requerirse a los usuarios que accedan a un proveedor de servicios de transacciones sin contactos desde su dispositivo móvil para efectuar un proceso de provisión de OTA. El proceso de OTA puede requerir que el usuario introduzca manualmente credenciales de usuario tal como números de cuenta. Ya que la mayoría de consumidores probablemente tienen muchos instrumentos de almacenamiento de credenciales tal como tarjetas de crédito/débito de diferentes bancos que el usuario querría incluir en la aplicación de cartera digital, introducir esta información para todos los instrumentos de almacenamiento de credenciales de un usuario puede ser un proceso que lleve mucho tiempo. Adicionalmente, el proceso de provisión de OTA puede generar cargos indeseados de uso de datos inalámbricos para el usuario.Providing digital wallet applications on mobile devices can be a complicated task. For example, to provision a mobile device with credentials for contactless transactions such as contactless payment transactions, users may be required to access a contactless transaction service provider from their mobile device to perform a provisioning process. from OTA. The OTA process may require the user to manually enter user credentials such as account numbers. Since most consumers probably have many credential storage instruments such as credit / debit cards from different banks that the user would like to include in the digital wallet application, enter this information for all of a user's credential storage instruments It can be a time consuming process. Additionally, the OTA provision process may generate unwanted charges for the use of wireless data for the user.

Realizaciones de la invención tienen por objetivo abordar estos y otros problemas individual y colectivamente, al menos hasta cierto punto.Embodiments of the invention are intended to address these and other problems individually and collectively, at least to some extent.

Breve sumarioBrief summary

De acuerdo con un primer aspecto de la presente invención se proporciona un método para proporcionar credenciales de pago usables por un dispositivo móvil en la realización de un pago como se define en la reivindicación 1.In accordance with a first aspect of the present invention there is provided a method of providing payment credentials usable by a mobile device in making a payment as defined in claim 1.

El método puede incluir adicionalmente: cifrar las credenciales de pago recibidas, teniendo las credenciales de pago cifradas una clave de descifrado única. Las credenciales de pago pueden comunicarse en forma cifrada con la clave de descifrado única almacenándose en el sistema de provisión. En un ejemplo, comunicar una derivación de las credenciales de pago comunica la clave de descifrado única y las credenciales de pago cifradas se almacenan en el sistema de provisión. En el caso en el que se comunica la clave de descifrado única, la clave de descifrado única puede purgarse desde el sistema de provisión.The method may additionally include: encrypting the received payment credentials, the encrypted payment credentials having a unique decryption key. Payment credentials can be communicated in encrypted form with the unique decryption key being stored in the provisioning system. In one example, reporting a derivation of Payment credentials communicates the unique decryption key, and encrypted payment credentials are stored in the provisioning system. In the case where the unique decryption key is communicated, the unique decryption key can be purged from the provisioning system.

En las realizaciones del método, el sistema de provisión es un servidor accesible de forma remota de una autoridad emisora, una pasarela de seguridad o gestor de servicios confiable, y en el que comunicar las credenciales de pago o una derivación de las credenciales de pago al dispositivo móvil identificado o el elemento seguro usa un canal seguro de comunicación.In method embodiments, the provisioning system is a remotely accessible server from an issuing authority, a trusted security gateway or service manager, and on which to communicate payment credentials or a derivation of payment credentials to Identified mobile device or secure element uses a secure communication channel.

En realizaciones alternativas del método, el sistema de provisión es un quiosco que tiene un procesador local al dispositivo de recepción, y en el que el método incluye: establecer un canal de comunicación entre el quiosco y el dispositivo móvil para comunicar las credenciales de pago o una derivación de las credenciales de pago. El quiosco puede actuar como un intermediario para un servidor accesible de forma remota y el método puede incluir el uso del identificador recibido para identificar y/o verificar un usuario o cuenta en un servidor accesible de forma remota. El método puede incluir: solicitar autorización desde un gestor de servicios confiable para acceder a un elemento seguro; y recibir una clave de seguridad para acceder al elemento seguro.In alternative embodiments of the method, the provisioning system is a kiosk having a processor local to the receiving device, and wherein the method includes: establishing a communication channel between the kiosk and the mobile device to communicate the payment credentials or a derivation of payment credentials. The kiosk can act as a broker for a remotely accessible server and the method can include using the received identifier to identify and / or verify a user or account on a remotely accessible server. The method may include: requesting authorization from a trusted service manager to access a secure element; and receive a security key to access the secure element.

El método puede incluir adicionalmente: comunicar credenciales adicionales al dispositivo móvil identificado o el elemento seguro a almacenar de forma segura en asociación con el dispositivo móvil, en el que las credenciales adicionales se requieren en uso además de las credenciales de pago o derivación de las credenciales de pago que efectúan una transacción. En una realización, las credenciales adicionales pueden ser valores de verificación de tarjeta. En otra realización, las credenciales adicionales pueden ser en forma de una aplicación o algoritmo de verificación dinámico para generar valores de verificación dinámicos. El método puede incluir obtener las credenciales adicionales de un servidor accesible de forma remota usando el identificador y reenviar las credenciales adicionales al dispositivo móvil.The method may additionally include: communicating additional credentials to the identified mobile device or secure item to be stored securely in association with the mobile device, in which the additional credentials are required in use in addition to the payment credentials or derivation of the credentials of payment that carry out a transaction. In one embodiment, the additional credentials can be card verification values. In another embodiment, the additional credentials may be in the form of a dynamic verification algorithm or application to generate dynamic verification values. The method may include obtaining additional credentials from a remotely accessible server using the identifier and forwarding the additional credentials to the mobile device.

El dispositivo de recepción puede ser uno del grupo de: un lector de tarjetas asociado con un quiosco, un dispositivo de punto de venta, un cajero automático, un terminal de punto de venta de comerciante o un dispositivo de entrada de PIN personal (PPED).The receiving device may be one of the group of: a card reader associated with a kiosk, a point of sale device, an ATM, a merchant point of sale terminal, or a personal PIN entry device (PPED) .

El dispositivo de pago portátil puede ser uno del grupo de: una tarjeta de débito o crédito con banda magnética, una tarjeta de débito o crédito con circuito integrado de seguridad, una tarjeta bancaria, una tarjeta bancaria sin contacto, una tarjeta de abono, una credencial de pago existente almacenada en un dispositivo móvil.The portable payment device can be one of the group of: a magnetic stripe debit or credit card, a debit or credit card with an integrated security circuit, a bank card, a contactless bank card, a credit card, a existing payment credential stored on a mobile device.

Las credenciales de pago recibidas pueden incluir recibir uno o más de datos de pista 1, datos de pista 2, datos de pista 3 y datos equivalentes de pista 2. Las credenciales de pago recibidas pueden incluir uno o más del grupo de: datos de pista, un número cuenta, nombre de titular de cuenta y/o fecha de nacimiento, un número de identificación bancaria (BIN), un número de cuenta primario (PAN), un código de servicio, una fecha de expiración, valores de verificación de tarjeta (CVV1 o CVV2), detalles personales de un titular de cuenta, un bloque o intervalo de PIN, un número de cuenta bancaria, un código de sucursal, un número de cuenta o identificador de fidelidad, información de número de tarjeta de crédito y/o débito, información de saldo de cuenta.Payment credentials received may include receiving one or more of track 1 data, track 2 data, track 3 data and equivalent track 2 data. Received payment credentials may include one or more of the group of: track data , an account number, account holder name and / or date of birth, a bank identification number (BIN), a primary account number (PAN), a service code, an expiration date, card verification values (CVV1 or CVV2), personal details of an account holder, a PIN block or range, a bank account number, a branch code, an account number or loyalty identifier, credit card number information, and / or or debit, account balance information.

El identificador puede ser uno o más del grupo de: un número de directorio de abonados internacional de estación móvil (MSISDN), una dirección de correo electrónico, un identificador de red social, un nombre de consumidor predefinido, un número de cuenta de consumidor.The identifier may be one or more of the group of: an international mobile station subscriber directory number (MSISDN), an email address, a social network identifier, a predefined consumer name, a consumer account number.

La etapa de recepción de credenciales de pago y la etapa de recepción de un identificador pueden incluir recibir un único mensaje de transacción segura que contiene las credenciales de pago y el identificador. El mensaje de transacción segura puede ser uno del grupo de: un mensaje de red de procesamiento de pago, un mensaje de transacción financiera, un mensaje de transacción financiera en forma de un mensaje ISO 8583, un mensaje de transacción financiera que contiene un código de encaminamiento de servidor. El código de encaminamiento de servidor puede usarse para encaminar el mensaje de transacción financiera al servidor accesible de forma remota mediante una red de procesamiento de pago.The step of receiving payment credentials and the stage of receiving an identifier may include receiving a single secure transaction message containing the payment credentials and the identifier. The secure transaction message can be one of the group of: a payment processing network message, a financial transaction message, a financial transaction message in the form of an ISO 8583 message, a financial transaction message containing a transaction code server routing. The server routing code can be used to route the financial transaction message to the remotely accessible server via a payment processing network.

Identificar un dispositivo móvil o un elemento seguro que corresponde al identificador puede incluir: determinar si un dispositivo móvil o elemento seguro que corresponde al identificador se ha registrado o no con un servidor accesible de forma remota y, si el dispositivo móvil o se ha registrado, identificar una correspondiente dirección de comunicación del dispositivo móvil y/o elemento seguro.Identifying a mobile device or secure element that corresponds to the identifier may include: determining whether or not a mobile device or secure element that corresponds to the identifier has been registered with a remotely accessible server, and whether the mobile device has been registered, identify a corresponding communication address of the mobile device and / or secure element.

Características adicionales proporcionan la etapa de identificación de un dispositivo móvil que corresponde al identificador para incluir la etapa de uso del identificador para consultar una base de datos para obtener una dirección de comunicación del dispositivo asociado móvil con el identificador. Características adicionales proporcionan la etapa de comunicación de las credenciales de pago al dispositivo móvil para incluir comunicar las credenciales de pago al dispositivo móvil usando la dirección de comunicación. Additional features provide the step of identifying a mobile device that corresponds to the identifier to include the step of using the identifier to query a database to obtain a communication address of the mobile associated device with the identifier. Additional features provide the step of communicating payment credentials to the mobile device to include communicating payment credentials to the mobile device using the communication address.

Comunicar las credenciales de pago o una derivación de las credenciales de pago al dispositivo móvil identificado a almacenar de forma segura en asociación con el dispositivo móvil, puede incluir: comunicar las credenciales de pago o una derivación de las credenciales de pago al dispositivo móvil a almacenar en un elemento seguro, en el que el elemento seguro es uno del grupo de: un elemento seguro proporcionado en el dispositivo móvil, un elemento seguro embebido en una capa que se sitúa entre un componente de comunicación del dispositivo móvil y una interfaz de componente de comunicación del dispositivo móvil, un elemento seguro proporcionado en un componente de comunicación del dispositivo móvil, un elemento seguro basado en la nube asociado con el dispositivo móvil. En una realización, el elemento seguro puede embeberse en una etiqueta, tarjeta o placa y que se sitúa entre un componente de comunicación del dispositivo móvil y una interfaz de componente de comunicación del dispositivo móvil,Communicating payment credentials or a derivation of payment credentials to the identified mobile device to be stored securely in association with the mobile device, may include: communicating payment credentials or a derivation of payment credentials to the mobile device to store in a secure element, wherein the secure element is one of the group of: a secure element provided in the mobile device, a secure element embedded in a layer that is located between a communication component of the mobile device and a component interface of mobile device communication, a secure element provided in a mobile device communication component, a cloud-based secure element associated with the mobile device. In one embodiment, the secure element may be embedded in a label, card, or board and located between a communication component of the mobile device and a communication component interface of the mobile device,

El método puede repetirse para múltiples credenciales de pago a almacenar de forma segura en asociación con un único dispositivo móvil.The method can be repeated for multiple payment credentials to be stored securely in association with a single mobile device.

El método puede usarse para transferir credenciales de pago a un segundo dispositivo móvil desde su almacenamiento seguro existente en un primer dispositivo móvil, en el que el dispositivo de pago portátil es una credencial de pago existente almacenada de forma segura en el primer dispositivo móvil.The method can be used to transfer payment credentials to a second mobile device from its existing secure storage on a first mobile device, wherein the portable payment device is an existing payment credential stored securely on the first mobile device.

De acuerdo con segundo aspecto de la presente invención se proporciona un método para proporcionar credenciales de pago usables por un dispositivo móvil en la realización de un pago, realizándose el método en un dispositivo de punto de venta y que comprende las etapas como se define en la reivindicación 10.In accordance with a second aspect of the present invention there is provided a method for providing payment credentials usable by a mobile device in making a payment, the method being performed on a point of sale device and comprising the steps as defined in the claim 10.

De acuerdo con un tercer aspecto de la presente invención se proporciona un sistema para proporcionar credenciales de pago usables por un dispositivo móvil en la realización de un pago, incluyendo un sistema de provisión como se define en la reivindicación 11.In accordance with a third aspect of the present invention there is provided a system for providing payment credentials usable by a mobile device in making a payment, including a provisioning system as defined in claim 11.

El sistema de provisión puede incluir: un componente de cifrado para cifrar las credenciales de pago recibidas, teniendo las credenciales de pago cifradas una clave de descifrado única; y en el que comunicar una derivación de las credenciales de pago comunica la clave de descifrado única.The provisioning system may include: an encryption component to encrypt the received payment credentials, the encrypted payment credentials having a unique decryption key; and in which communicating a derivation of the payment credentials communicates the unique decryption key.

En ejemplos del sistema, el sistema de provisión es un servidor accesible de forma remota de una autoridad emisora, una pasarela de seguridad, o gestor de servicios confiable, y en el que el módulo de comunicación para comunicar las credenciales de pago o una derivación de las credenciales de pago al dispositivo móvil identificado o el elemento seguro usa un canal seguro de comunicación.In system examples, the provisioning system is a remotely accessible server from an issuing authority, a security gateway, or a trusted service manager, and on which the communication module to communicate payment credentials or a referral of the payment credentials to the identified mobile device or the secure element uses a secure communication channel.

En realizaciones alternativas, el sistema de provisión es un quiosco que tiene un procesador local al dispositivo de recepción, y en el que el quiosco incluye el módulo de comunicación para establecer un canal de comunicación entre el quiosco y el dispositivo móvil para comunicar las credenciales de pago o una derivación de las credenciales de pago. El quiosco puede actuar como un intermediario para un servidor accesible de forma remota y el sistema incluye un servidor módulo de comunicación para usar el identificador recibido para identificar y/o verificar un usuario o cuenta en el servidor accesible de forma remota.In alternative embodiments, the provisioning system is a kiosk having a processor local to the receiving device, and in which the kiosk includes the communication module to establish a communication channel between the kiosk and the mobile device to communicate the credentials of payment or a derivation of payment credentials. The kiosk can act as an intermediary for a remotely accessible server and the system includes a communication module server to use the received identifier to identify and / or verify a user or account on the remotely accessible server.

El sistema de provisión puede incluir adicionalmente: un componente de autorización para solicitar autorización desde un gestor de servicios confiable para acceder a un elemento seguro y recibir una clave de seguridad para acceder al elemento seguro.The provisioning system may additionally include: an authorization component to request authorization from a trusted service manager to access a secure element and receive a security key to access the secure element.

El sistema de provisión puede incluir adicionalmente: un componente de credenciales adicionales para comunicar credenciales adicionales al dispositivo móvil identificado o el elemento seguro a almacenar de forma segura en asociación con el dispositivo móvil, en el que las credenciales adicionales se requieren en uso además de las credenciales de pago o derivación de las credenciales de pago que efectúan una transacción. En una realización, las credenciales adicionales pueden ser valores de verificación de tarjeta. En otra realización, las credenciales adicionales pueden ser en forma de una aplicación o algoritmo de verificación dinámico para generar valores de verificación dinámicos. El método puede incluir obtener las credenciales adicionales de un servidor accesible de forma remota usando el identificador y reenviar las credenciales adicionales al dispositivo móvil.The provisioning system may additionally include: an additional credential component to communicate additional credentials to the identified mobile device or the secure item to be securely stored in association with the mobile device, wherein the additional credentials are required in use in addition to the payment credentials or derivation of payment credentials that make a transaction. In one embodiment, the additional credentials can be card verification values. In another embodiment, the additional credentials may be in the form of a dynamic verification algorithm or application to generate dynamic verification values. The method may include obtaining additional credentials from a remotely accessible server using the identifier and forwarding the additional credentials to the mobile device.

El componente de identificación para identificar un dispositivo móvil que corresponde al identificador puede incluir funcionalidad para determinar si un dispositivo móvil o un elemento seguro que corresponde al identificador se ha registrado o no con un servidor accesible de forma remota y, si el dispositivo móvil se ha registrado, identificar una correspondiente dirección de comunicación del dispositivo móvil o elemento seguro.The identification component for identifying a mobile device that corresponds to the identifier may include functionality to determine whether or not a mobile device or a secure element that corresponds to the identifier has been registered with a remotely accessible server and, if the mobile device has been registered, identify a corresponding communication address of the mobile device or secure element.

El módulo de comunicación para comunicar las credenciales de pago o una derivación de las credenciales de pago al dispositivo móvil identificado a almacenar de forma segura en asociación con el dispositivo móvil, incluye funcionalidad para comunicar las credenciales de pago o una derivación de las credenciales de pago al dispositivo móvil a almacenar en un elemento seguro, en el que el elemento seguro es uno del grupo de: un elemento seguro proporcionado en el dispositivo móvil, un elemento seguro embebido en una capa que se sitúa entre un componente de comunicación del dispositivo móvil y una interfaz de componente de comunicación del dispositivo móvil, un elemento seguro proporcionado en un componente de comunicación del dispositivo móvil, un elemento seguro basado en la nube asociado con el dispositivo móvil.The communication module for communicating payment credentials or a derivation of payment credentials to the identified mobile device to be stored securely in association with the mobile device, includes functionality to communicate payment credentials or a derivation of payment credentials. to the mobile device to be stored in a secure element, in which the secure element is one of the group of: a secure element provided in the mobile device, a secure element embedded in a layer that is located between a communication component of the mobile device and a communication component interface of the mobile device, a secure element provided in a communication component of the mobile device, a cloud-based secure element associated with the mobile device.

En realizaciones adicionales, el sistema puede incluir: un dispositivo de punto de venta que comprende: un componente de obtención de credenciales de pago para obtener credenciales de pago desde un dispositivo de pago portátil presentado por un consumidor en el dispositivo de recepción; un receptor de identificador para recibir un identificador introducido por el consumidor en el dispositivo de punto de venta; un módulo de comunicación para comunicar las credenciales de pago e identificador a un servidor accesible de forma remota para comunicación adicional de las credenciales de pago o una derivación de las credenciales de pago a un dispositivo móvil a almacenar de forma segura en asociación con el dispositivo móvil.In further embodiments, the system may include: a point of sale device comprising: a payment credential obtaining component for obtaining payment credentials from a portable payment device presented by a consumer at the receiving device; an identifier receiver for receiving an identifier entered by the consumer in the point of sale device; a communication module to communicate the payment credentials and identifier to a remotely accessible server for additional communication of the payment credentials or a bypass of the payment credentials to a mobile device to be stored securely in association with the mobile device .

En un aspecto adicional de la presente invención, se proporciona un quiosco para permitir que un usuario proporcione a un dispositivo móvil con credenciales desde los instrumentos de almacenamiento de credenciales del usuario también denominados como dispositivos de pago portátiles. El quiosco incluye un lector de instrumento de almacenamiento de credenciales para recuperar credenciales desde un instrumento de almacenamiento de credenciales. El quiosco también incluye una interfaz de dispositivo móvil para establecer un canal de comunicación con un dispositivo móvil, y para cargar credenciales desde el instrumento de almacenamiento de credenciales en el dispositivo móvil a través del canal de comunicación.In a further aspect of the present invention, a kiosk is provided to allow a user to provide a mobile device with credentials from the user's credential storage instruments also referred to as portable payment devices. The kiosk includes a credential storage instrument reader to retrieve credentials from a credential storage instrument. The kiosk also includes a mobile device interface to establish a communication channel with a mobile device, and to upload credentials from the credential storage instrument to the mobile device through the communication channel.

De acuerdo con un cuarto aspecto de la presente invención se proporciona un producto de programa informático para proporcionar credenciales de pago usables por un dispositivo móvil en la realización de un pago, comprendiendo el producto de programa informático un medio legible por ordenador que ha almacenado código de programa legible por ordenador para realizar las etapas del primer aspecto de la presente invención y una o más características definidas adicionalmente listadas anteriormente.In accordance with a fourth aspect of the present invention, a computer program product is provided to provide payment credentials usable by a mobile device in making a payment, the computer program product comprising a computer readable medium that has stored Computer readable program for performing the steps of the first aspect of the present invention and one or more additionally defined features listed above.

De acuerdo con un quinto aspecto de la presente invención se proporciona un producto de programa informático para proporcionar credenciales de pago usables por un dispositivo móvil en la realización de un pago, comprendiendo el producto de programa informático un medio legible por ordenador que ha almacenado código de programa legible por ordenador para realizar las etapas del segundo aspecto de la presente invención y una o más características definidas adicionalmente listadas anteriormente.In accordance with a fifth aspect of the present invention a computer program product is provided to provide payment credentials usable by a mobile device in making a payment, the computer program product comprising a computer readable medium that has stored code computer readable program for performing the steps of the second aspect of the present invention and one or more further defined features listed above.

Características adicionales de la invención proporcionan que el medio legible por ordenador sea un medio legible por ordenador no transitorio y que el código de programa legible por ordenador sea ejecutable por un circuito de procesamiento.Additional features of the invention provide that the computer readable medium is a non-transient computer readable medium and that the computer readable program code is executable by a processing circuit.

Para que la invención se entienda más completamente, se describirán ahora implementaciones de la misma con referencia a los dibujos adjuntos.For the invention to be more fully understood, implementations thereof will now be described with reference to the accompanying drawings.

Breve descripción de los dibujosBrief description of the drawings

La Figura 1 es un diagrama esquemático de una primera realización de un sistema de acuerdo con la presente invención;Figure 1 is a schematic diagram of a first embodiment of a system according to the present invention;

La Figura 2 es un diagrama esquemático de que muestra variaciones de la primera realización la Figura 1;Figure 2 is a schematic diagram showing variations of the first embodiment of Figure 1;

La Figura 3 es un diagrama esquemático de que muestra variaciones de la primera realización la Figura 1;Figure 3 is a schematic diagram of showing variations of the first embodiment of Figure 1;

La Figura 4A es un diagrama de flujo de un método efectuado en un sistema de provisión de acuerdo con la presente invención;Figure 4A is a flow chart of a method performed on a delivery system in accordance with the present invention;

La Figura 4B es un diagrama de flujo de una realización del método de la Figura 4A;Figure 4B is a flow chart of one embodiment of the method of Figure 4A;

La Figura 5 es un diagrama de flujo de un método efectuado en un dispositivo de punto de venta de acuerdo con la presente invención;Figure 5 is a flow chart of a method performed on a point of sale device in accordance with the present invention;

La Figura 6A es un diagrama de bloques de un aspecto de un sistema de acuerdo con la presente invención;Figure 6A is a block diagram of one aspect of a system in accordance with the present invention;

La Figura 6B es un diagrama de bloques de un aspecto de un sistema de acuerdo con la presente invención;Figure 6B is a block diagram of one aspect of a system in accordance with the present invention;

La Figura 7 es un diagrama en carriles de un ejemplo de un método de acuerdo con la presente invención;Figure 7 is a lane diagram of an example of a method according to the present invention;

La Figura 8 es un diagrama en carriles de otro ejemplo de un método de acuerdo con la presente invención;Figure 8 is a lane diagram of another example of a method according to the present invention;

La Figura 9A ilustra una segunda realización de un sistema de acuerdo con la presente invención;Figure 9A illustrates a second embodiment of a system in accordance with the present invention;

La Figura 9B es un diagrama de bloques de un quiosco de la realización del sistema de la Figura 9A; Figure 9B is a block diagram of a kiosk of the embodiment of the system of Figure 9A;

La Figura 9C es un diagrama esquemático de un sistema de la realización de la Figura 9A;Figure 9C is a schematic diagram of a system of the embodiment of Figure 9A;

La Figura 9D es un diagrama de flujo de un método de la realización de la Figura 9A;Figure 9D is a flow chart of a method of the embodiment of Figure 9A;

La Figura 10 es un diagrama en carriles de la realización de la Figura 9A;Figure 10 is a lane diagram of the embodiment of Figure 9A;

La Figura 11 ilustra un diagrama de bloques de un dispositivo informático en el que pueden implementarse diversos aspectos de la invención; yFigure 11 illustrates a block diagram of a computing device in which various aspects of the invention can be implemented; Y

La Figura 12 ilustra un diagrama de bloques de un dispositivo de comunicación que puede usarse en diversas realizaciones de la invención.Figure 12 illustrates a block diagram of a communication device that can be used in various embodiments of the invention.

Descripción detalladaDetailed description

En la siguiente descripción detallada, se exponen numerosos detalles específicos para proporcionar un completo entendimiento de la invención. Sin embargo, se entenderá por los expertos en la materia que la presente invención puede practicarse sin estos detalles específicos. En otros casos, métodos bien conocidos, procedimientos y componentes no se han descrito en detalle para no obstaculizar la presente invención.In the following detailed description, numerous specific details are set forth to provide a complete understanding of the invention. However, it will be understood by those skilled in the art that the present invention can be practiced without these specific details. In other cases, well known methods, procedures and components have not been described in detail so as not to hinder the present invention.

Se describen métodos y sistemas para proporcionar credenciales de pago o derivaciones de credenciales de pago usables por un dispositivo móvil en la realización de un pago sin contacto.Methods and systems are described for providing payment credentials or derivations of payment credentials usable by a mobile device in making a contactless payment.

Realizaciones de la invención incluyen un método efectuado en un servidor accesible de forma remota para proporcionar credenciales de pago o derivaciones de las mismas a un dispositivo móvil a través de un dispositivo de recepción en el que puede introducirse un dispositivo de pago portátil o instrumento de almacenamiento de credenciales tal como una tarjeta de pago. El dispositivo de recepción puede ser, por ejemplo, un dispositivo de punto de venta, un cajero automático u otro dispositivo intermediario.Embodiments of the invention include a method performed on a remotely accessible server for providing payment credentials or derivations thereof to a mobile device through a receiving device into which a portable payment device or storage instrument can be inserted. of credentials such as a payment card. The receiving device may be, for example, a point of sale device, an ATM or other intermediary device.

Las credenciales de pago pueden proporcionarse de forma segura al dispositivo móvil desde el servidor accesible de forma remota a través de canales a un elemento seguro asociado con el dispositivo móvil.Payment credentials can be securely provided to the mobile device from the server remotely accessible via channels to a secure item associated with the mobile device.

Las credenciales de pago pueden proporcionarse al dispositivo móvil o, como alternativa, las credenciales de pago pueden almacenarse en el servidor accesible de forma remota en una forma cifrada y puede proporcionarse una clave de descifrado única al dispositivo móvil.Payment credentials can be provided to the mobile device or, alternatively, payment credentials can be stored on the remotely accessible server in an encrypted form and a unique decryption key can be provided to the mobile device.

Otras realizaciones de la invención proporcionan un quiosco para permitir que un usuario proporcione un dispositivo móvil con credenciales desde los instrumentos de almacenamiento de credenciales del usuario. Proporcionando un quiosco como una interfaz entre el dispositivo móvil del usuario y los instrumentos de almacenamiento de credenciales del usuario, puede evitarse la introducción manual de las credenciales porque tales credenciales pueden leerse directamente desde los instrumentos de almacenamiento de credenciales del usuario. Adicionalmente, el quiosco puede actuar como un intermediario de comunicación entre el dispositivo móvil y entidades implicadas en el proceso de provisión tal como un emisor o un gestor de servicios confiable para evitar uso de datos inalámbricos en el dispositivo móvil durante el proceso de provisión. Por lo tanto, realizaciones de la presente invención proporcionan una forma cómoda y rentable para habilitar dispositivos móviles con aplicaciones de cartera digital para su uso en transacciones sin contacto.Other embodiments of the invention provide a kiosk to allow a user to provide a mobile device with credentials from the user's credential storage instruments. By providing a kiosk as an interface between the user's mobile device and the user's credential storage instruments, manual entry of the credentials can be avoided because such credentials can be read directly from the user's credential storage instruments. Additionally, the kiosk can act as a communication intermediary between the mobile device and entities involved in the provisioning process such as a trusted service issuer or manager to prevent use of wireless data on the mobile device during the provisioning process. Therefore, embodiments of the present invention provide a convenient and cost-effective way to enable mobile devices with digital wallet applications for use in contactless transactions.

Estas realizaciones y realizaciones adicionales se describen ahora en detalle.These additional embodiments and embodiments are now described in detail.

La Figura 1 ilustra un diagrama de bloques de un sistema ilustrativo (100) de acuerdo con realizaciones de la invención. El sistema incluye un dispositivo móvil (112) y un dispositivo de pago portátil (114) de un consumidor (102). El sistema incluye adicionalmente un dispositivo de recepción para el dispositivo de pago portátil (114) y, en esta realización, el dispositivo de recepción es en forma de un dispositivo de punto de venta (120). El sistema incluye adicionalmente un servidor accesible de forma remota (140) que, en el sistema ilustrativo (100), está en comunicación con el dispositivo de punto de venta (120) a través de una red de procesamiento de pago (130). Mientras la figura únicamente muestra un consumidor (102), un dispositivo móvil (112), un dispositivo de pago portátil (114) y un dispositivo de punto de venta (120), se apreciará que esto es puramente para propósitos de ilustración y que la invención prevé uno o más de cada uno.Figure 1 illustrates a block diagram of an illustrative system (100) according to embodiments of the invention. The system includes a mobile device (112) and a portable payment device (114) from a consumer (102). The system further includes a receiving device for the portable payment device (114) and, in this embodiment, the receiving device is in the form of a point of sale device (120). The system further includes a remotely accessible server (140) which, in the illustrative system (100), is in communication with the point of sale device (120) through a payment processing network (130). While the figure only shows a consumer (102), a mobile device (112), a portable payment device (114) and a point of sale device (120), it will be appreciated that this is purely for illustration purposes and that the Invention provides for one or more of each.

El dispositivo móvil (112) puede ser cualquier dispositivo móvil adecuado que tiene un elemento seguro (113). El elemento seguro (113) puede embeberse en el dispositivo móvil, disponerse dentro de un factor de forma de tarjeta digital segura (SD) mini o similar que se sitúa en una ranura de tarjeta SD mini del dispositivo móvil (112).The mobile device 112 can be any suitable mobile device having a secure element 113. The secure element (113) can be embedded in the mobile device, arranged within a mini secure digital card (SD) form factor or the like that is located in a mini SD card slot of the mobile device (112).

Como alternativa, el elemento seguro (113) puede disponerse dentro de un componente de comunicación del dispositivo móvil, tal como una tarjeta de circuito integrado universal (UICC). También se prevé que en algunas realizaciones el elemento seguro (113) puede disponerse en un dispositivo de expansión puede conectarse a un dispositivo móvil o como alternativa disponerse dentro del mismo, por ejemplo una etiqueta, placa o tarjeta que se sitúa a continuación entre una UICC y una interfaz de UICC del dispositivo móvil de tal forma que el elemento seguro puede interceptar y procesar apropiadamente cualquier comunicación enviada entre la UICC y el dispositivo móvil y en consecuencia, entre el dispositivo móvil y una red de comunicación móvil.As an alternative, the secure element 113 can be arranged within a communication component of the mobile device, such as a universal integrated circuit card (UICC). It is also envisaged that in some embodiments the secure element 113 can be arranged in an expansion device can be connected to a mobile device or alternatively be disposed within it, for example a tag, plate or card which is then placed between a UICC and a UICC interface of the mobile device in such a way that the secure element can properly intercept and process any communication sent between the UICC and the mobile device and consequently between the mobile device and a mobile communication network.

Se prevé adicionalmente que el elemento seguro (113) puede ser un elemento seguro basado en la nube usando emulación de tarjeta del sistema (HCE) que habilita almacenamiento accesible por red externo al dispositivo móvil (112) con una aplicación en el dispositivo móvil (112) configurado para emular las funciones de tarjeta.It is further envisaged that the secure element (113) may be a cloud-based secure element using system card emulation (HCE) which enables external network accessible storage to the mobile device (112) with an application on the mobile device (112 ) configured to emulate card functions.

Dispositivos móviles ilustrativos incluyen teléfonos inteligentes, teléfonos básicos, ordenadores de tableta, asistentes digitales personales o similares. El dispositivo móvil (112) está en comunicación de datos con el servidor accesible de forma remota a través de, por ejemplo una red de datos móviles o de comunicación móvil, y se configura al menos para recibir de forma segura, almacenar, lanzar y transmitir credenciales de pago o derivaciones de credenciales de pago. Por ejemplo, el dispositivo móvil (112) puede ser cualquier dispositivo de este tipo que cumple con normas de esquemas de pago o financieros, tal como, por ejemplo, la Especificación de Tarjetas de Global Platform. Realizaciones de la invención proporcionan que una aplicación de software móvil apropiada esté residente en el dispositivo móvil (112) que permite que un usuario de la misma interactúe con el elemento seguro (113) se acople a la misma, o asocie con la misma en una arquitectura basada en la nube, y que también puede facilitar comunicaciones entre el dispositivo móvil (112) y el elemento seguro (113).Illustrative mobile devices include smartphones, basic phones, tablet computers, personal digital assistants, or the like. The mobile device 112 is in data communication with the server remotely accessible through, for example, a mobile data or mobile communication network, and is configured to at least securely receive, store, launch and transmit payment credentials or derivations of payment credentials. For example, mobile device 112 may be any such device that complies with payment or financial scheme standards, such as, for example, the Global Platform Card Specification. Embodiments of the invention provide that an appropriate mobile software application is resident in the mobile device 112 that allows a user thereof to interact with, or associate with, the secure element 113. architecture based on the cloud, and that can also facilitate communications between the mobile device (112) and the secure element (113).

La aplicación de software puede proporcionar: una interfaz de usuario para facilitar la introducción de una clave de acceso en el dispositivo móvil (112) a comparar con un intervalo almacenado en el elemento seguro (113); una lista de la que usuarios pueden seleccionar credenciales de pago a usar; notificaciones de recepción o uso o credenciales de pago o similar. La interfaz de usuario puede incluir un menú desde el que pueden iniciarse al menos algunas de estas comunicaciones. Ejemplos de la invención proporcionan adicionalmente que una interfaz de este tipo se proporcione por una implementación de protocolo de conjunto de herramientas de aplicación SIM (comúnmente denominada como el protocolo STK) o similar.The software application can provide: a user interface to facilitate entering an access key in the mobile device (112) to be compared with an interval stored in the secure element (113); a list from which users can select payment credentials to use; notifications of receipt or use or payment credentials or similar. The user interface may include a menu from which at least some of these communications can be initiated. Examples of the invention further provide that such an interface is provided by a SIM application toolkit protocol implementation (commonly referred to as the STK protocol) or the like.

El dispositivo de pago portátil (114) en la realización ilustrada es una tarjeta bancaria de circuito integrado de seguridad. Tales tarjetas también se conocen como tarjetas de 'chip y pin' o 'tarjetas inteligentes EMV'. El dispositivo de pago portátil (114) tiene credenciales de pago, que pueden ser información de pista 2 y/o equivalente de pista 2 (tal como datos de etiqueta 57 de EMV), almacenadas en el mismo. Información de pista 2 y/o equivalente de pista 2 puede incluir un número de identificación bancaria (BIN), un número de cuenta primario (PAN), una fecha de expiración, un código de servicio, datos discrecionales tal como valores de verificación de tarjeta (CVV) así como cualquier comprobación de espacio y redundancia. Además de esto, ejemplos de la invención proporcionan que el dispositivo de pago portátil (114) contenga credenciales de pago que pueden incluir uno cualquiera o más de un nombre de cliente y/o fecha de nacimiento, un BIN, un PAN, un código de servicio, una fecha de expiración, números CVV1 o CVV2, un bloque o intervalo de PIN, un número de cuenta bancaria, un código de sucursal, un número de cuenta o identificador de fidelidad, información de número de tarjeta de crédito y/o débito, información de saldo de cuenta y/u otra información de consumidor. En otros ejemplos de la invención, las credenciales de pago pueden incluir información de pista 1 y/o pista 3.The portable payment device 114 in the illustrated embodiment is a security integrated circuit bank card. Such cards are also known as 'chip and pin' cards or 'EMV smart cards'. The portable payment device 114 has payment credentials, which can be track 2 information and / or track 2 equivalent (such as EMV tag data 57), stored therein. Track 2 and / or track 2 equivalent information may include a bank identification number (BIN), a primary account number (PAN), an expiration date, a service code, discretionary data such as card verification values (CVV) as well as any checks for space and redundancy. In addition to this, examples of the invention provide that the portable payment device (114) contains payment credentials that may include any one or more of a customer name and / or date of birth, a BIN, a PAN, a service, an expiration date, CVV1 or CVV2 numbers, a PIN block or range, a bank account number, a branch code, an account number or loyalty identifier, credit and / or debit card number information , account balance information and / or other consumer information. In other examples of the invention, the payment credentials may include track 1 and / or track 3 information.

El dispositivo de punto de venta (120) puede ser cualquier dispositivo adecuado configurado para obtener credenciales de pago desde dispositivos de pago portátiles apropiados y para comunicar estas credenciales de pago a una red de procesamiento de pago o red de entidad financiera. El dispositivo de punto de venta (120) puede configurarse para obtener credenciales de pago desde dispositivos de pago portátiles a través de cualquier interfaz de comunicaciones apropiada con o sin contacto que puede ser, por ejemplo, normas ISO/IEC 7813, ISO/IEC 7816 o ISO/IEC 14443 donde corresponda.The point of sale device 120 can be any suitable device configured to obtain payment credentials from appropriate portable payment devices and to communicate these payment credentials to a payment processing network or financial institution network. The point of sale device (120) can be configured to obtain payment credentials from portable payment devices through any appropriate contact or non-contact communication interface which can be, for example, ISO / IEC 7813, ISO / IEC 7816 standards. or ISO / IEC 14443 where applicable.

El dispositivo de punto de venta (120) puede incluir uno o más de diversos medios para recuperar información desde un dispositivo de pago portátil que incluye que el usuario sitúe el dispositivo de pago portátil (114) en contacto físico con el dispositivo de punto de venta (120), por ejemplo, deslizando o insertando una tarjeta de banda magnética en un lector de banda magnética, o insertando una tarjeta con chip en una ranura de lector de tarjeta con chip, o el usuario situando el dispositivo de pago portátil (114) en proximidad cercana con el dispositivo de punto de venta (120), por ejemplo, situando una tarjeta sin contacto en proximidad cercana a un lector de tarjeta sin contacto, o situando un medio impreso, por ejemplo, con un código de barras o código de respuesta rápida (QR) frente a un escáner de infrarrojos.The point of sale device (120) may include one or more of various means for retrieving information from a portable payment device that includes the user placing the portable payment device (114) in physical contact with the point of sale device. (120), for example, sliding or inserting a magnetic stripe card into a magnetic stripe reader, or inserting a chip card into a chip card reader slot, or the user locating the portable payment device (114) in close proximity to the point of sale device (120), for example, by placing a contactless card in close proximity to a contactless card reader, or by placing a printed medium, for example, with a barcode or rapid response (QR) in front of an infrared scanner.

En el sistema ilustrativo (100) ilustrado, el dispositivo de punto de venta (120) es un dispositivo de punto de venta de mano. Además de esto, el dispositivo de punto de venta (120) se configura para recibir un identificador introducido por un consumidor a través de, por ejemplo, un teclado numérico del dispositivo de punto de venta (120).In the illustrated illustrative system 100, the point of sale device 120 is a hand held point of sale device. In addition to this, the point of sale device (120) is configured to receive an identifier entered by a consumer through, for example, a numeric keypad of the point of sale device (120).

El dispositivo de punto de venta (120) se configura adicionalmente para formatear las credenciales de pago así como el identificador en un mensaje de transacción financiera y para comunicar este mensaje a la red de procesamiento de pago (130). El mensaje de transacción financiera puede ser, por ejemplo, un mensaje ISO 8583. Adicionalmente, el dispositivo de punto de venta (120) se configura para insertar un código de encaminamiento de servidor en el mensaje de transacción financiera de tal forma que el mensaje de transacción financiera se encamina al servidor accesible de forma remota (140) mediante la red de procesamiento de pago (130) usando el código de encaminamiento de servidor. El código de encaminamiento de servidor puede situarse en el campo 'BIN' del mensaje de transacción financiera.The point of sale device (120) is further configured to format the payment credentials as well as the identifier in a financial transaction message and to communicate this message to the payment processing network (130). The financial transaction message may be, for example, an ISO 8583 message. Additionally, the point of sale device (120) is configured to insert a routing code of server in the financial transaction message such that the financial transaction message is routed to the remotely accessible server (140) via the payment processing network (130) using the server routing code. The server routing code can be placed in the 'BIN' field of the financial transaction message.

La red de procesamiento de pago (130) es una red de entidades financieras y entidades de procesamiento de pagos y se configura para encaminar mensajes de transacciones financieras entre, por ejemplo, comerciantes, adquirentes y emisores, entre otros. Un ejemplo de una red de procesamiento de pago de este tipo es VisaNet™ que tiene una pluralidad de entidades financieras adquirentes y emisoras que son una parte de la red.The payment processing network 130 is a network of financial entities and payment processing entities and is configured to route financial transaction messages between, for example, merchants, acquirers and issuers, among others. An example of such a payment processing network is VisaNet ™ which has a plurality of acquiring financial entities and issuers that are a part of the network.

El servidor accesible de forma remota (140) puede ser cualquier ordenador de servidor apropiado o sistema informático de servidor distribuido y tiene una base de datos (142) almacenada en una memoria digital en el mismo y también tiene una memoria segura que, en una realización preferida está dentro de un módulo de seguridad de hardware (144) del servidor accesible de forma remota. El servidor accesible de forma remota (140) se configura para recibir credenciales de pago desde un dispositivo de punto de venta (por ejemplo 120), en el que las credenciales de pago se han obtenido desde un dispositivo de pago portátil (por ejemplo 114) presentado por un consumidor (por ejemplo 102) en el dispositivo de punto de venta (120).The remotely accessible server 140 may be any appropriate server computer or distributed server computer system and has a database 142 stored in digital memory therein and also has secure memory which, in one embodiment Preferred is within a remotely accessible server hardware security module 144. The remotely accessible server (140) is configured to receive payment credentials from a point of sale device (for example 120), in which the payment credentials have been obtained from a portable payment device (for example 114) presented by a consumer (for example 102) at the point of sale device (120).

El servidor accesible de forma remota puede configurarse para cifrar las credenciales de pago, teniendo las credenciales de pago cifradas una clave de descifrado única. El cifrado puede realizarse en el módulo de seguridad de hardware (144). En un ejemplo, la clave para descifrar las credenciales de pago se mantiene por el servidor accesible de forma remota (140) y las credenciales de pago cifradas se envían al dispositivo móvil (112) para almacenamiento en el elemento seguro (114) asociado con el dispositivo móvil (112). En otro ejemplo, las credenciales de pago cifradas se almacenan en el módulo de seguridad de hardware (144) del servidor accesible de forma remota (140) y la clave de descifrado se envía al dispositivo móvil (112) para almacenamiento en el elemento seguro (113) asociado con el dispositivo móvil (112).The remotely accessible server can be configured to encrypt payment credentials, with encrypted payment credentials having a unique decryption key. Encryption can be done in hardware security module (144). In one example, the key to decrypt the payment credentials is kept by the remotely accessible server (140) and the encrypted payment credentials are sent to the mobile device (112) for storage in the secure element (114) associated with the mobile device (112). In another example, the encrypted payment credentials are stored in the remotely accessible server hardware security module 144 (140) and the decryption key is sent to the mobile device (112) for storage in the secure element ( 113) associated with the mobile device (112).

Además de esto, el servidor accesible de forma remota (140) se configura para recibir un identificador desde el dispositivo de punto de venta (120) que se introduce por el consumidor (102) en el dispositivo de punto de venta (120). El servidor accesible de forma remota (140) se configura para identificar a continuación un dispositivo móvil (por ejemplo 112), o un elemento seguro (113) asociado con un dispositivo móvil (112), que corresponde al identificador y para comunicar las credenciales de pago al dispositivo móvil (112) a almacenar en un elemento seguro (113) asociado con el dispositivo móvil (112).In addition to this, the remotely accessible server (140) is configured to receive an identifier from the point of sale device (120) that is entered by the consumer (102) in the point of sale device (120). The remotely accessible server (140) is configured to then identify a mobile device (for example 112), or a secure element (113) associated with a mobile device (112), which corresponds to the identifier and to communicate the credentials of payment to the mobile device (112) to be stored in a secure element (113) associated with the mobile device (112).

Esto puede realizarse usando el identificador para consultar la base de datos (142) para obtener una dirección de comunicación del dispositivo móvil (112) asociado con el identificador. Las credenciales de pago pueden enviarse a continuación al dispositivo móvil (112) usando la dirección de comunicación. El identificador recibido por el servidor accesible de forma remota puede ser, por ejemplo, uno cualquiera o más de un número de directorio de abonados internacional de estación móvil (MSISDN), una dirección de correo electrónico, un identificador de red social, un nombre de consumidor predefinido, un número de cuenta de consumidor o similar. La dirección de comunicación del dispositivo móvil puede ser similarmente, por ejemplo, uno cualquiera o más de un MSISDN, una dirección de correo electrónico, un identificador de red social, un nombre de consumidor predefinido, un número de cuenta de consumidor o similar. El identificador y dirección de comunicación pueden ser el mismo.This can be done using the identifier to query the database 142 to obtain a communication address of the mobile device 112 associated with the identifier. The payment credentials can then be sent to the mobile device 112 using the communication address. The identifier received by the remotely accessible server may be, for example, any one or more than one mobile station international subscriber directory number (MSISDN), an email address, a social network identifier, a predefined consumer, a consumer account number, or the like. The communication address of the mobile device may similarly be, for example, any one or more of an MSISDN, an email address, a social network identifier, a predefined consumer name, a consumer account number, or the like. The identifier and communication address can be the same.

Realizaciones de la invención proporcionan que el servidor accesible de forma remota se configure para asociar uno o más del grupo de: el identificador; clave de descifrado; credenciales de pago cifradas; y dirección de comunicación con un perfil de usuario en la base de datos.Embodiments of the invention provide that the remotely accessible server is configured to associate one or more of the group of: the identifier; decryption key; encrypted payment credentials; and communication address with a user profile in the database.

En algunas realizaciones de la invención la función desempeñada por el servidor accesible de forma remota (140) puede ser similar a la de un gestor de servicios confiable (TSM) y por consiguiente puede cumplir con cualquier requisito de seguridad o identidad de datos impuesto por normas de esquemas de pago y financieros relevantes, tal como, por ejemplo, la especificación de tarjetas de Global Platform.In some embodiments of the invention the function performed by the remotely accessible server (140) can be similar to that of a trusted service manager (TSM) and therefore can meet any requirements for security or data identity imposed by standards relevant payment and financial schemes, such as the Global Platform card specification.

En uso, un consumidor (102) puede desear proporcionar sus credenciales de pago o una derivación de las mismas a un elemento seguro (113) en su dispositivo móvil (112) de tal forma que el dispositivo móvil (112) puede usarse para realizar pago sin contactos en comerciantes físicos o comerciantes en línea.In use, a consumer (102) may wish to provide their payment credentials or a derivation thereof to a secure item (113) on their mobile device (112) such that the mobile device (112) can be used to make payment no contacts at physical merchants or online merchants.

Para hacer esto, el consumidor, que ya ha registrado su dispositivo móvil (112) con el servidor accesible de forma remota (140) y asociado el mismo con un identificador y dirección de comunicación, visita, por ejemplo, un comerciante físico y presenta al comerciante su dispositivo de pago portátil (114). El dispositivo de pago portátil (114) se interconecta con un dispositivo de punto de venta (120) del comerciante y se selecciona, por ejemplo, una opción de menú de 'transferencia de credenciales' en el dispositivo de punto de venta (120). Puede avisarse al consumidor (102) que introduzca un PIN que él o ella introduce en el dispositivo de punto de venta (120), a continuación de lo cual, puede avisarse al consumidor (102) que introduzca su identificador. El consumidor (102) introduce su identificador predeterminado, que se ha registrado con el servidor accesible de forma remota (140), en el dispositivo de punto de venta (120). To do this, the consumer, who has already registered his mobile device (112) with the remotely accessible server (140) and associated it with an identifier and communication address, visits, for example, a physical merchant and presents the merchant your portable payment device (114). The portable payment device (114) interfaces with a merchant's point of sale device (120) and, for example, a 'credential transfer' menu option is selected on the point of sale device (120). The consumer 102 may be prompted to enter a PIN that he or she enters into the point of sale device 120, after which the consumer 102 may be prompted to enter their identifier. The consumer (102) enters their default identifier, which has been registered with the remotely accessible server (140), at the point of sale device (120).

Habiendo recibido el PIN del consumidor, el dispositivo de punto de venta (120) es capaz de extraer credenciales de pago del dispositivo de pago portátil (114). El dispositivo de punto de venta (120) formatea las credenciales de pago en un mensaje de transacción financiera. El dispositivo de punto de venta (120) también puede incluir el identificador en el mensaje de transacción financiera así como un código de encaminamiento de servidor. El código de encaminamiento de servidor puede ser similar a un BIN y asegura que el mensaje de transacción financiera se encamina al servidor accesible de forma remota (140) mediante la red de procesamiento de pago (130).Having received the consumer's PIN, the point of sale device (120) is able to extract payment credentials from the portable payment device (114). The point of sale device (120) formats the payment credentials in a financial transaction message. The point of sale device 120 can also include the identifier in the financial transaction message as well as a server routing code. The server routing code can be similar to a BIN and ensures that the financial transaction message is routed to the remotely accessible server (140) via the payment processing network (130).

El mensaje de transacción financiera se recibe en el servidor accesible de forma remota (140). El servidor accesible de forma remota usa el identificador contenido en el mensaje de transacción financiera para identificar una dirección de comunicación de un dispositivo móvil (112) asociado. El servidor accesible de forma remota (140) usa la dirección de comunicación para comunicar las credenciales de pago o una derivación de las credenciales de pago al dispositivo móvil (112) para almacenamiento en el elemento seguro (113) asociado con el mismo.The financial transaction message is received at the remotely accessible server (140). The remotely accessible server uses the identifier contained in the financial transaction message to identify a communication address of an associated mobile device (112). The remotely accessible server (140) uses the communication address to communicate the payment credentials or a derivation of the payment credentials to the mobile device (112) for storage in the secure element (113) associated therewith.

Las credenciales de pago se reciben a continuación por el dispositivo móvil (112) y almacenan de forma segura en el elemento seguro (113) del dispositivo móvil (112). Puede avisarse al usuario para un PIN antes de que las credenciales de pago se almacenen en el elemento seguro. En algunos ejemplos las credenciales de pago se proporcionan al dispositivo móvil (112) desde el servidor accesible de forma remota (140) y almacenan en el elemento seguro (113) a través de provisión durante la comunicación (OTA). Esto por consiguiente puede habilitar que el usuario haga pago sin contactos usando su dispositivo móvil (112) como un dispositivo de pago portátil sin contacto, en el que las credenciales proporcionadas por el dispositivo móvil (112) al dispositivo de punto de venta apropiadamente configurado del comerciante son las del dispositivo de pago portátil (114) del usuario.Payment credentials are then received by the mobile device (112) and stored securely in the secure element (113) of the mobile device (112). The user can be notified for a PIN before the payment credentials are stored in the secure element. In some examples the payment credentials are provided to the mobile device 112 from the remotely accessible server 140 and stored in the secure element 113 through provision during communication (OTA). This accordingly can enable the user to make contactless payment using their mobile device (112) as a contactless portable payment device, in which the credentials provided by the mobile device (112) to the appropriately configured point of sale device of the merchant are those of the user's portable payment device (114).

En algunos ejemplos, el servidor accesible de forma remota (140) puede cifrar las credenciales de pago y una clave de descifrado única puede asociarse con las credenciales de pago. Una de las credenciales de pago cifradas o la clave de descifrado puede almacenarse a continuación en memoria segura, tal como un módulo de seguridad de hardware (144) del servidor accesible de forma remota. La otra de las credenciales de pago cifradas o la clave de descifrado puede enviarse al elemento seguro (113) asociado con el dispositivo móvil (112). Las credenciales de pago pueden cifrarse usando cualquier algoritmo de encriptación apropiado de tal forma que, una vez cifradas, las credenciales de pago pueden desencriptarse únicamente usando la clave de descifrado única. Si la clave de descifrado se envía al dispositivo móvil (112) para almacenamiento en el elemento seguro (113), esta clave de descifrado no se almacena en el servidor accesible de forma remota ni en su módulo de seguridad de hardware. In some examples, the remotely accessible server (140) can encrypt the payment credentials, and a unique decryption key can be associated with the payment credentials. One of the encrypted payment credentials or decryption key can then be stored in secure memory, such as a remotely accessible server hardware security module 144. The other of the encrypted payment credentials or the decryption key can be sent to the secure element (113) associated with the mobile device (112). Payment credentials can be encrypted using any appropriate encryption algorithm such that, once encrypted, payment credentials can only be decrypted using the unique decryption key. If the decryption key is sent to mobile device 112 for storage in secure element 113, this decryption key is not stored on the remotely accessible server or its hardware security module.

Las credenciales de pago cifradas o clave de descifrado recibidas por el dispositivo móvil (112) se almacenan de forma segura en el elemento seguro (113) del dispositivo móvil (112). Puede avisarse al usuario para un PIN antes de que las credenciales de pago cifradas o claves de descifrado se almacenen en el elemento seguro. En algunos ejemplos claves de descifrado se proporcionan al dispositivo móvil (112) desde el servidor accesible de forma remota (140) y almacenan en el elemento seguro (113) a través de provisión durante la comunicación aérea (OTA). The encrypted payment credentials or decryption key received by the mobile device (112) are stored securely in the secure element (113) of the mobile device (112). The user can be notified for a PIN before encrypted payment credentials or decryption keys are stored in the secure item. In some key decryption examples they are provided to the mobile device (112) from the remotely accessible server (140) and stored in the secure element (113) through provision during air communication (OTA).

En el escenario de la derivación de las credenciales de pago en forma de a clave de descifrado se almacena en el elemento seguro (113) asociado con el dispositivo móvil (112), un usuario puede presentar el identificador a un comerciante como un método de pago en la realización de una transacción. El comerciante puede solicitar credenciales de pago del servidor accesible de forma remota (140) y, en conjunción, comunicar el identificador al servidor accesible de forma remota (140). El servidor accesible de forma remota (140) puede usar el identificador recibido para identificar un dispositivo móvil (112) y solicitar una clave de descifrado del dispositivo móvil identificado (112). El dispositivo móvil (112), tras recibir esta solicitud, puede avisar a continuación al usuario para un PIN, clave de acceso o contraseña antes de comunicar una clave de descifrado relevante al servidor accesible de forma remota (140) de modo que correspondientes credenciales de pago cifradas pueden desencriptarse y comunicarse al comerciante y/o el adquirente del comerciante y/o la red de procesamiento de pago de modo que la transacción puede completarse.In the scenario of derivation of payment credentials in the form of a decryption key is stored in the secure element (113) associated with the mobile device (112), a user can present the identifier to a merchant as a payment method in conducting a transaction. The merchant can request payment credentials from the remotely accessible server (140) and, in conjunction, communicate the identifier to the remotely accessible server (140). The remotely accessible server (140) can use the received identifier to identify a mobile device (112) and request a decryption key from the identified mobile device (112). The mobile device (112), upon receiving this request, can then notify the user for a PIN, password or password before communicating a relevant decryption key to the remotely accessible server (140) so that corresponding credentials of Encrypted payment can be decrypted and communicated to the merchant and / or the merchant's acquirer and / or the payment processing network so that the transaction can be completed.

La Figura 2 ilustra un sistema ilustrativo (200) de acuerdo con una segunda realización de la invención. El sistema es similar al que se ilustra en la Figura 1 y números de referencia similares se refieren a sistemas, entidades o dispositivos similares. El sistema (200) de la Figura 2 difiere del de la Figura 1 en que el dispositivo de punto de venta en esta realización es una máquina de cajero automático (ATM) (222). La ATM (222) puede ser cualquier ATM adecuada y se configura para obtener credenciales de pago desde un dispositivo de pago portátil (214) de un consumidor (202) y para comunicar estas credenciales de pago a una red de procesamiento de pago (230) o red de entidad financiera. La ATM (222) puede configurarse para obtener credenciales de pago desde el dispositivo de pago portátil (214) a través de cualquier interfaz de comunicaciones apropiada con o sin contacto, por ejemplo un lector de tarjetas o interfaz de comunicación de campo cercano (NFC).Figure 2 illustrates an illustrative system (200) in accordance with a second embodiment of the invention. The system is similar to that illustrated in Figure 1 and similar reference numbers refer to similar systems, entities, or devices. The system (200) in Figure 2 differs from that in Figure 1 in that the point of sale device in this embodiment is an automated teller machine (ATM) (222). ATM (222) can be any suitable ATM and is configured to obtain payment credentials from a consumer's portable payment device (214) (202) and to communicate these payment credentials to a payment processing network (230) or financial institution network. The ATM (222) can be configured to obtain payment credentials from the portable payment device (214) through any appropriate communication interface with or without contact, for example a card reader or near field communication interface (NFC) .

La ATM (222) en la realización ilustrada se configura para recibir un identificador introducido por un consumidor (202) a través de, por ejemplo, un teclado numérico de la ATM (222). La ATM (222) se configura adicionalmente para formatear las credenciales de pago así como el identificador en un mensaje de transacción financiera y para comunicar este mensaje a la red de procesamiento de pago (230). El mensaje de transacción financiera puede, por ejemplo, ser un mensaje ISO 8583. Adicionalmente, la ATM (222) se configura para insertar un código de encaminamiento de servidor en el mensaje de transacción financiera de tal forma que el mensaje de transacción financiera se encamina al servidor accesible de forma remota (240) mediante la red de procesamiento de pago (230) usando el código de encaminamiento de servidor. El código de encaminamiento de servidor puede situarse en el campo 'BIN' del mensaje de transacción financiera.The ATM (222) in the illustrated embodiment is configured to receive an identifier entered by a consumer (202) through, for example, an ATM numeric keypad (222). The ATM (222) is further configured to format the payment credentials as well as the identifier in a financial transaction message and to communicate this message to the payment processing network (230). The financial transaction message may, for example, be an ISO 8583 message. Additionally, ATM (222) is configured to insert a transaction code. server routing in the financial transaction message such that the financial transaction message is routed to the remotely accessible server (240) via the payment processing network (230) using the server routing code. The server routing code can be placed in the 'BIN' field of the financial transaction message.

Una vez que las credenciales de pago se reciben en el servidor accesible de forma remota, pueden comunicarse o puede comunicarse una derivación de las credenciales de pago al dispositivo móvil para almacenamiento en un elemento seguro del mismo como se ha descrito en la descripción anterior.Once the payment credentials are received on the remotely accessible server, they can communicate or a derivation of the payment credentials can be communicated to the mobile device for storage in a secure element thereof as described in the description above.

El sistema (200) puede ponerse en uso por un usuario (202) de manera similar al sistema de la Figura 1. El usuario (202) presenta su dispositivo de pago portátil (214) a una interfaz de dispositivo de pago portátil de la ATM (222). Puede avisarse al usuario para un PIN, en respuesta a una introducción correcta del cual, el usuario (202) selecciona una opción de 'transferencia de credenciales' de un menú visualizado en una pantalla de la ATM (222). También se avisará al usuario (202) para un identificador, que él o ella introduce en la ATM (222) a través de teclado numérico de la ATM (222). La ATM (222) obtiene credenciales de pago desde el dispositivo de pago portátil (214) y formatea las credenciales de pago, identificador, así como el código de encaminamiento de servidor en un mensaje de transacción financiera que se envía a continuación a la red de procesamiento de pago (230) y encamina desde allí al servidor accesible de forma remota (240). Similar al escenario en uso de la Figura 1, las credenciales de pago se comunican a continuación al dispositivo móvil del usuario (926) a almacenar en un elemento seguro del mismo. The system (200) can be put into use by a user (202) in a similar way to the system of Figure 1. The user (202) presents his portable payment device (214) to a portable payment device interface of the ATM (222). The user may be prompted for a PIN, in response to a correct entry of which, the user (202) selects a 'credential transfer' option from a menu displayed on an ATM screen (222). The user (202) will also be notified for an identifier, which he or she enters into the ATM (222) through the numeric keypad of the ATM (222). The ATM (222) obtains payment credentials from the portable payment device (214) and formats the payment credentials, identifier, as well as the server routing code in a financial transaction message that is then sent to the payment processing (230) and routes from there to the remotely accessible server (240). Similar to the scenario in use of Figure 1, the payment credentials are then communicated to the user's mobile device (926) to be stored in a secure element thereof.

La Figura 3 ilustra aún otro sistema ilustrativo (300) de acuerdo con un tercer ejemplo de la invención. El sistema (300) es similar al que se ilustra en las Figuras 1 y 2, y números de referencia similares se refieren a sistemas, entidades o dispositivos similares. El sistema (300) de la Figura 3 difiere del de las Figuras 1 y 2 en que el dispositivo móvil (316) no tiene un elemento seguro embebido. En su lugar, el dispositivo móvil (316) tiene una etiqueta de expansión criptográfica (318) en la que se dispone un elemento seguro. La etiqueta de expansión criptográfica (318) tiene contactos eléctricos dispuestos en un lado superior y un lado inferior de la misma que interactúa con un componente de comunicación (317) y una interfaz de componente de comunicación del dispositivo móvil (316) respectivamente. La etiqueta de expansión criptográfica (318) puede fijarse a continuación al componente de comunicación (317) que se inserta en un puerto de comunicación del dispositivo móvil (316) de tal forma que el elemento seguro puede interceptar y procesar apropiadamente cualquier comunicación enviada entre el componente de comunicación (317) y el dispositivo móvil (316) y, en consecuencia, entre el dispositivo móvil (316) y una red de comunicación móvil. En el ejemplo ilustrado, el componente de comunicación es una tarjeta de circuito integrado universal (UICC).Figure 3 illustrates yet another illustrative system (300) in accordance with a third example of the invention. System 300 is similar to that illustrated in Figures 1 and 2, and similar reference numbers refer to similar systems, entities, or devices. The system (300) of Figure 3 differs from that of Figures 1 and 2 in that the mobile device (316) does not have an embedded secure element. Instead, the mobile device (316) has a cryptographic expansion tag (318) on which a secure element is provided. The cryptographic expansion tag (318) has electrical contacts arranged on an upper side and a lower side thereof that interacts with a communication component (317) and a communication component interface of the mobile device (316) respectively. The cryptographic expansion tag (318) can then be affixed to the communication component (317) which is inserted into a communication port of the mobile device (316) such that the secure element can properly intercept and process any communication sent between the communication component (317) and mobile device (316) and, accordingly, between mobile device (316) and a mobile communication network. In the illustrated example, the communication component is a universal integrated circuit card (UICC).

La Figura 4A ilustra un diagrama de flujo de un método de acuerdo con una realización de un aspecto de la invención. El método se realiza en un sistema de provisión que puede ser un servidor accesible de forma remota, similar a los descritos en la descripción anterior con referencia a las Figuras 1 a 3, o un quiosco especializado como se describe adicionalmente a continuación en relación con las Figuras 9A a 9D.Figure 4A illustrates a flow diagram of a method according to an embodiment of an aspect of the invention. The method is performed in a provisioning system which can be a remotely accessible server, similar to those described in the previous description with reference to Figures 1 to 3, or a specialized kiosk as described further below in relation to Figures 9A to 9D.

El método incluye una serie de etapas, una primera (402) de las cuales es la etapa de recepción de credenciales de pago desde un dispositivo de recepción que puede ser un dispositivo de punto de venta, incorporado en o usado en asociación con un dispositivo de punto de venta, como se describe con referencia a las Figuras 1a 3, o un lector de instrumento de almacenamiento de credenciales de un quiosco con referencia a las Figuras 9A a 9D, u otra forma de dispositivo de recepción para recibir credenciales de pago. El dispositivo de punto de venta puede ser, por ejemplo, una máquina de cajero automático, un terminal punto de venta de comerciante o un dispositivo de entrada de PIN personal (PPED).The method includes a series of steps, a first one (402) of which is the step of receiving payment credentials from a receiving device which may be a point of sale device, incorporated in or used in association with a payment device. point of sale, as described with reference to Figures 1 to 3, or a kiosk credential storage instrument reader with reference to Figures 9A to 9D, or other form of receiving device for receiving payment credentials. The point of sale device may be, for example, an ATM machine, a merchant point of sale terminal, or a personal PIN input device (PPED).

Las credenciales de pago recibidas desde el dispositivo de punto de venta se obtienen desde un dispositivo de pago portátil (también referido a continuación en relación con la realización de las Figuras 9A a 9D como un instrumento de almacenamiento de credenciales) que se presenta por un consumidor en el dispositivo de recepción. El dispositivo de pago portátil puede ser una tarjeta de crédito o débito que puede ser una cualquiera de una tarjeta bancaria de banda magnética, una tarjeta bancaria de circuito integrado de seguridad o una tarjeta bancaria sin contacto. Las credenciales de pago pueden ser datos de pista 1, datos de pista 2, datos de pista 3 o datos equivalentes de pista 2 (tal como datos de etiqueta 57 de EMV). Adicionalmente, las credenciales de pago pueden incluir un nombre de titular de cuenta y/o fecha de nacimiento, un número de identificación bancaria (BIN), un número de cuenta primario (PAN), un código de servicio, una fecha de expiración, valores de verificación de tarjeta (CVV1 o CVV2), un bloque o intervalo de PIN, un número de cuenta bancaria, un código de sucursal, un número de cuenta o identificador de fidelidad, información de número de tarjeta de crédito y/o débito, información de saldo de cuenta y/o información de consumidor tal como nombre, fecha de nacimiento. Las credenciales de pago pueden recibirse por el servidor accesible de forma remota a través de una red de procesamiento de pago.Payment credentials received from the point of sale device are obtained from a portable payment device (also referred to below in connection with the embodiment of Figures 9A to 9D as a credential storage instrument) presented by a consumer on the receiving device. The portable payment device may be a credit or debit card, which may be any one of a magnetic stripe bank card, an integrated security circuit bank card, or a contactless bank card. Payment credentials can be track 1 data, track 2 data, track 3 data or equivalent track 2 data (such as EMV tag 57 data). Additionally, payment credentials may include an account holder name and / or date of birth, a bank identification number (BIN), a primary account number (PAN), a service code, an expiration date, values Card Verification (CVV1 or CVV2), a PIN block or range, a bank account number, a branch code, an account number or loyalty identifier, credit and / or debit card number information, information account balance and / or consumer information such as name, date of birth. Payment credentials can be received by the server remotely accessible through a payment processing network.

El método incluye una etapa (404) de recepción de un identificador desde el dispositivo de recepción, por ejemplo, el dispositivo de punto de venta, o interfaz de entrada de usuario de quiosco. El identificador puede ser uno cualquiera o más de un número de directorio de abonados internacional de estación móvil (MSISDN), una dirección de correo electrónico, un identificador de red social, un nombre de consumidor predefinido o un número de cuenta de consumidor. En una realización preferida de la invención, las credenciales de pago e identificador se reciben en el servidor accesible de forma remota en un mensaje de transacción financiera, que puede ser, por ejemplo, un mensaje ISO 8583. Adicionalmente, el mensaje de transacción financiera puede comunicarse desde el dispositivo de punto de venta al servidor accesible de forma remota a través de una red de procesamiento de pago. El mensaje de transacción financiera puede por consiguiente incluir un código de encaminamiento de servidor de tal forma que la red de procesamiento de pago es capaz de encaminar el mensaje de transacción financiera al servidor accesible de forma remota.The method includes a step (404) of receiving an identifier from the receiving device, eg, the point of sale device, or kiosk user input interface. The identifier can be any one or more of a mobile station international subscriber directory number (MSISDN), an email address, a social network identifier, a predefined consumer name, or a consumer account number. In a preferred embodiment of the invention, the payment and identifier credentials are received at the server remotely accessible in a financial transaction message, which may be, for example, an ISO 8583 message. Additionally, the financial transaction message can be communicated from the point of sale device to the remotely accessible server through a payment processing network. The financial transaction message may therefore include a server routing code such that the payment processing network is able to route the financial transaction message to the remotely accessible server.

El método incluye una siguiente etapa (406) de identificación de un dispositivo móvil y/o un elemento seguro de un dispositivo móvil que corresponde al identificador. Esta etapa puede incluir la etapa de determinación de si un dispositivo móvil y/o elemento seguro que corresponde al identificador se ha registrado o no con el servidor accesible de forma remota y, si un dispositivo móvil y/o elemento seguro se ha registrado, identificar una correspondiente dirección de comunicación del dispositivo móvil y/o elemento seguro. Esto puede realizarse usando el identificador para consultar una base de datos del servidor accesible de forma remota para obtener la dirección de comunicación del dispositivo móvil y/o elemento seguro asociado con el identificador.The method includes a next step (406) of identifying a mobile device and / or a secure element of a mobile device that corresponds to the identifier. This step may include the step of determining whether or not a mobile device and / or secure element corresponding to the identifier has been registered with the remotely accessible server and, if a mobile device and / or secure element has been registered, identify a corresponding communication address of the mobile device and / or secure element. This can be done using the identifier to query a remotely accessible server database to obtain the communication address of the mobile device and / or secure element associated with the identifier.

Como una etapa adicional opcional (408), puede enviarse un registro o petición de activación a un servicio de gestión confiable (TSM) que gestiona claves de seguridad o testigos que se usan para acceder a un elemento seguro. La petición puede incluir el identificador. El TSM puede autorizar el desbloqueo de un elemento seguro asociado con el dispositivo móvil. El TSM puede proporcionarse en el servidor accesible de forma remota o mediante un servicio remoto proporcionado en un servidor accesible de forma remota separado.As an optional additional step 408, a registration or activation request can be sent to a trusted management service (TSM) that manages security keys or tokens that are used to access a secure element. The request may include the identifier. The TSM can authorize the unlocking of a secure item associated with the mobile device. TSM can be provided on the remotely accessible server or via a remote service provided on a separate remotely accessible server.

El método incluye una etapa (410) de comunicación de las credenciales de pago al dispositivo móvil a almacenar en un elemento seguro asociado con el dispositivo móvil. Esto puede incluir comunicar las credenciales de pago al dispositivo móvil usando la dirección de comunicación. Esto también puede incluir comunicar las credenciales de pago al elemento seguro asociado con el dispositivo móvil usando un código de identificación de un elemento seguro para configurar un canal seguro de comunicación con el elemento seguro que puede ser a través del dispositivo móvil. En algunos ejemplos como se describen adicionalmente en relación con la Figura 4B, una derivación de las credenciales de pago se comunica al dispositivo móvil o elemento seguro, por ejemplo, la derivación de las credenciales de pago puede ser una clave de descifrado que corresponde a credenciales de pago cifradas almacenadas de forma remota.The method includes a step (410) of communicating the payment credentials to the mobile device to be stored in a secure element associated with the mobile device. This may include communicating payment credentials to the mobile device using the communication address. This may also include communicating payment credentials to the secure element associated with the mobile device using a secure element identification code to configure a secure channel of communication with the secure element that can be through the mobile device. In some examples as further described in relation to Figure 4B, a derivation of payment credentials is communicated to the mobile device or secure element, for example, the derivation of payment credentials may be a decryption key corresponding to credentials Remotely stored encrypted payment methods.

Como una etapa adicional opcional (412) adicional, pueden solicitarse credenciales adicionales por o suministrarse por el servidor accesible de forma remota. Las credenciales adicionales pueden ser credenciales que no pueden leerse automáticamente desde un dispositivo de pago portátil tal como un valor de verificación de tarjeta impreso (por ejemplo el número CVV2) que es legible por el ser humano desde el dispositivo de pago portátil. En este caso, las credenciales adicionales pueden solicitarse por el servidor accesible de forma remota y obtenerse del consumidor a través del dispositivo de punto de venta.As an additional optional step (412), additional credentials can be requested by or supplied by the remotely accessible server. The additional credentials can be credentials that cannot be automatically read from a portable payment device such as a printed card verification value (eg CVV2 number) that is human readable from the portable payment device. In this case, additional credentials can be requested by the remotely accessible server and obtained from the consumer through the point of sale device.

Las credenciales adicionales también pueden incluir software de valor de verificación de tarjeta dinámico (dCVV) que se usa para generar un dCVV para transacciones individuales. Tales credenciales adicionales pueden identificarse usando el identificador y suministrarse por el servidor accesible de forma remota o por un servidor accesible de forma remota separado durante el proceso de provisión. Las credenciales adicionales pueden comunicarse al elemento seguro asociado con el dispositivo móvil. Estas pueden comunicarse separadamente a las credenciales de pago o derivación de las credenciales de pago.Additional credentials can also include Dynamic Card Verification Value (dCVV) software that is used to generate a dCVV for individual transactions. Such additional credentials can be identified using the identifier and supplied by the remotely accessible server or by a separate remotely accessible server during the provisioning process. Additional credentials can be communicated to the secure item associated with the mobile device. These can be communicated separately to the payment credentials or derivation of the payment credentials.

El elemento seguro del dispositivo móvil puede, de acuerdo con algunos ejemplos de la invención, embeberse en una etiqueta, tarjeta o placa como se describe anteriormente en la descripción siguiente. Antes de comunicar las credenciales de pago al dispositivo móvil, el servidor accesible de forma remota puede cifrar las credenciales de pago usando uno cualquiera de un número de algoritmos de encriptación. Algoritmos de encriptación ilustrativos incluyen Norma de Encriptación Avanzada (AES), Norma de Encriptación de Datos (DES), Norma/Algoritmo de Encriptación de Datos Triple (TDES/TDEA), Capa de Conexión Segura (SSL), Blowfish, Serpent, Twofish, Algoritmo de Encriptación de Datos Internacional (IDEA), Rivest, Shamir y Adleman (RSA), Algoritmo de Firma Digital (DSA), Algoritmo Diminuto de Encriptación (TEA), TEA extendido (XTEA), y/u otros algoritmos o protocolos de encriptación. En algunos ejemplos, la clave de descifrado, también denominada como la clave privada, se almacena en una memoria segura del servidor accesible de forma remota en asociación con el identificador, de tal forma que únicamente el servidor accesible de forma remota, o un módulo de seguridad de hardware del mismo, puede descifrar las credenciales de pago antes de la presentación a, por ejemplo, un comerciante. En este ejemplo, las credenciales de pago se almacenan en su forma cifrada en el elemento seguro del dispositivo móvil.The secure element of the mobile device may, in accordance with some examples of the invention, be embedded in a label, card or plate as described above in the following description. Before communicating the payment credentials to the mobile device, the remotely accessible server can encrypt the payment credentials using any one of a number of encryption algorithms. Illustrative encryption algorithms include Advanced Encryption Standard (AES), Data Encryption Standard (DES), Triple Data Encryption Standard / Algorithm (TDES / TDEA), Secure Socket Layer (SSL), Blowfish, Serpent, Twofish, International Data Encryption Algorithm (IDEA), Rivest, Shamir and Adleman (RSA), Digital Signature Algorithm (DSA), Tiny Encryption Algorithm (TEA), Extended TEA (XTEA), and / or other encryption algorithms or protocols . In some examples, the decryption key, also called the private key, is stored in a secure memory of the remotely accessible server in association with the identifier, such that only the remotely accessible server, or a module of Hardware security of the same, you can decrypt payment credentials before submission to, for example, a merchant. In this example, the payment credentials are stored in encrypted form on the secure element of the mobile device.

La Figura 4B ilustra un diagrama de flujo de un método de acuerdo con otra realización de un aspecto de la invención. El método se realiza en servidor accesible de forma remota, tal como el de las Figuras 1 a 3. El método incluye una serie de etapas, una primera (422) de las cuales es la recepción de credenciales de pago desde un dispositivo de recepción tal como dispositivo de punto de venta similar al de la etapa (402) de la Figura 4A.Figure 4B illustrates a flow diagram of a method according to another embodiment of an aspect of the invention. The method is performed on a remotely accessible server, such as that of Figures 1 to 3. The method includes a series of steps, a first one (422) of which is the receipt of payment credentials from a receiving device such as as a point-of-sale device similar to that of step (402) of Figure 4A.

El método incluye una siguiente etapa (424) de recepción de un identificador desde el dispositivo de recepción tal como un dispositivo de punto de venta similar al de la etapa (404) de la Figura 4A. The method includes a next step (424) of receiving an identifier from the receiving device such as a point of sale device similar to that of step (404) of Figure 4A.

El método incluye una siguiente etapa (426) de cifrado de las credenciales de pago. Las credenciales de pago pueden cifrarse con cualquier algoritmo apropiado y una vez cifrado, tener una clave de descifrado única. Algoritmos de encriptación ilustrativos incluyen, pero sin limitación, Norma de Encriptación Avanzada (AES), Norma de Encriptación de Datos (DES), Norma/Algoritmo de Encriptación de Datos Triple (TDES/TDEA), Capa de Conexión Segura (SSL), Blowfish, Serpent, Twofish, Algoritmo de Encriptación de Datos Internacional (IDEA), Rivest, Shamiry Adleman (RSA), Algoritmo de Firma Digital (DSA), Algoritmo Diminuto de Encriptación (TEA), TEA extendido (XTEA) y/u otros algoritmos o protocolos de encriptación.The method includes a next step (426) of encrypting the payment credentials. Payment credentials can be encrypted with any appropriate algorithm and once encrypted, have a unique decryption key. Illustrative encryption algorithms include, but are not limited to, Advanced Encryption Standard (AES), Data Encryption Standard (DES), Triple Data Encryption Standard / Algorithm (TDES / TDEA), Secure Socket Layer (SSL), Blowfish , Serpent, Twofish, International Data Encryption Algorithm (IDEA), Rivest, Shamiry Adleman (RSA), Digital Signature Algorithm (DSA), Tiny Encryption Algorithm (TEA), Extended TEA (XTEA) and / or other algorithms or encryption protocols.

Como la clave de descifrado es única para esas credenciales de pago, únicamente esa clave de descifrado puede usarse para desencriptar esas credenciales de pago. La clave de descifrado única, que en algunas realizaciones puede ser una clave privada, no se almacena en la misma ubicación que las credenciales de pago cifradas.Since the decryption key is unique to those payment credentials, only that decryption key can be used to decrypt those payment credentials. The unique decryption key, which in some embodiments may be a private key, is not stored in the same location as the encrypted payment credentials.

El método incluye una siguiente etapa (428) de almacenamiento de una de las credenciales de pago cifradas o la clave de descifrado en una memoria segura del servidor accesible de forma remota, que en una realización preferida, es un módulo de seguridad de hardware. Las credenciales de pago cifradas o la clave de descifrado única, dirección de comunicación e identificador pueden asociarse con un perfil de usuario almacenado en una base de datos del servidor accesible de forma remota. Tras recibir, por ejemplo, una clave de descifrado única, pueden identificarse las correspondientes credenciales de pago, almacenadas en el módulo de seguridad de hardware. El método incluye una siguiente etapa (430) de identificación de un dispositivo móvil y/o un elemento seguro que corresponde al identificador. Esta etapa es similar a la etapa (406) de la Figura 4A.The method includes a next step (428) of storing one of the encrypted payment credentials or the decryption key in a remotely accessible server secure memory, which in a preferred embodiment is a hardware security module. Encrypted payment credentials or unique decryption key, communication address, and identifier can be associated with a user profile stored in a remotely accessible server database. After receiving, for example, a unique decryption key, the corresponding payment credentials can be identified, stored in the hardware security module. The method includes a next step (430) of identifying a mobile device and / or a secure element corresponding to the identifier. This step is similar to step (406) in Figure 4A.

El método incluye una etapa final (432) de comunicación de la otra de las credenciales de pago cifradas y la clave de descifrado única al dispositivo móvil a almacenar en un elemento seguro asociado con el dispositivo móvil. Esto puede incluir comunicar al dispositivo móvil usando la dirección de comunicación. El elemento seguro del dispositivo móvil puede, de acuerdo con algunos ejemplos de la invención, embeberse en una etiqueta, tarjeta o placa como se describe anteriormente en la descripción anterior.The method includes a final step (432) of communicating the other of the encrypted payment credentials and the unique decryption key to the mobile device to be stored in a secure element associated with the mobile device. This may include communicating to the mobile device using the communication address. The secure element of the mobile device can, according to some examples of the invention, be embedded in a label, card or plate as described above in the description above.

Como únicamente una de las credenciales de pago cifradas y la clave de descifrado se almacena únicamente en el elemento seguro del dispositivo móvil, las credenciales de pago cifradas no pueden descifrarse y, en consecuencia, no pueden usarse.Since only one of the encrypted payment credentials and the decryption key is stored only in the secure element of the mobile device, the encrypted payment credentials cannot be decrypted and therefore cannot be used.

En el escenario en el que las credenciales de pago cifradas se almacenan en el servidor accesible de forma remota y la clave de descifrado única se transmite al elemento seguro del dispositivo móvil, la clave de descifrado única se purga y no se almacena en el módulo de seguridad de hardware del servidor accesible de forma remota.In the scenario where encrypted payment credentials are stored on the remotely accessible server and the unique decryption key is transmitted to the secure element of the mobile device, the unique decryption key is purged and is not stored in the remotely accessible server hardware security.

Este escenario, que puede considerarse un inverso de uno en el que las credenciales de pago se almacenan en el elemento seguro del dispositivo móvil, es ventajoso en que si el elemento seguro del dispositivo móvil se pone en peligro, únicamente pueden obtenerse la claves de descifrado de credenciales de pago cifradas. Adicionalmente, en el caso de que el elemento seguro se pone en peligro, la claves de descifrado almacenadas en el mismo pueden revocarse simplemente, sin tener que emitir de nuevo credenciales de pago.This scenario, which can be considered an inverse of one in which payment credentials are stored in the secure element of the mobile device, is advantageous in that if the secure element of the mobile device is compromised, only the decryption keys can be obtained encrypted payment credentials. Additionally, in the event that the secure element is compromised, the decryption keys stored in it can be simply revoked, without having to issue payment credentials again.

La Figura 5 ilustra un diagrama de flujo de un método de acuerdo con otro aspecto de la invención. El método se realiza en un dispositivo de punto de venta modificado adecuado, tal como cualquiera de los descritos en la descripción anterior con referencia a las Figuras 1 a 3.Figure 5 illustrates a flow diagram of a method according to another aspect of the invention. The method is performed on a suitable modified point of sale device, such as any of those described in the description above with reference to Figures 1 to 3.

El método incluye una primera etapa (502) de obtención de credenciales de pago desde un dispositivo de pago portátil presentado por un consumidor en el dispositivo de punto de venta. Esto puede realizarse de una manera similar a operaciones de acceso a credenciales de pago convencionales, tal como por ejemplo a través de un protocolo de comunicación de ISO 7816 o ISO/IEC 14443 o similar. Las credenciales de pago obtenidas podrían considerarse como credenciales de pago 'presentes en tarjeta' en que proporcionan suficiente información para una transacción posterior usando las credenciales de pago a considerarse una transacción presente en tarjeta. Las credenciales de pago pueden entonces, por ejemplo, ser datos de pista 1, datos de pista 2, datos de pista 3 o datos equivalentes de pista 2 (tal como datos de etiqueta 57 de EMV). Adicionalmente, las credenciales de pago pueden incluir un nombre de titular de cuenta y/o fecha de nacimiento, un número de identificación bancaria (BIN), un número de cuenta primario (PAN), un código de servicio, una fecha de expiración, valores de verificación de tarjeta (CVV1 o CVV2), un bloque o intervalo de PIN, un número de cuenta bancaria, un código de sucursal, un número de cuenta o identificador de fidelidad, información de número de tarjeta de crédito y/o débito, información de saldo de cuenta o información de consumidor tal como nombre, fecha de nacimiento.The method includes a first step 502 of obtaining payment credentials from a portable payment device presented by a consumer at the point of sale device. This can be done in a similar way to conventional payment credential access operations, such as through an ISO 7816 or ISO / IEC 14443 communication protocol or the like. The obtained payment credentials could be considered as 'card present' payment credentials in that they provide enough information for a subsequent transaction using the payment credentials to be considered a card present transaction. The payment credentials can then, for example, be track 1 data, track 2 data, track 3 data or equivalent track 2 data (such as EMV tag data 57). Additionally, payment credentials may include an account holder name and / or date of birth, a bank identification number (BIN), a primary account number (PAN), a service code, an expiration date, values Card Verification (CVV1 or CVV2), a PIN block or range, a bank account number, a branch code, an account number or loyalty identifier, credit and / or debit card number information, information account balance or consumer information such as name, date of birth.

El método incluye una siguiente etapa (504) de recepción de un identificador introducido por el consumidor en el dispositivo de punto de venta. El identificador puede ser uno cualquiera o más de uno o más de un número de directorio de abonados internacional de estación móvil (MSISDN), una dirección de correo electrónico, un identificador de red social, un nombre de consumidor predefinido o un número de cuenta de consumidor. The method includes a next step (504) of receiving an identifier entered by the consumer in the point of sale device. The identifier may be any one or more of one or more of an International Mobile Station Subscriber Directory (MSISDN) number, an email address, a social network identifier, a predefined consumer name, or a customer account number. consumer.

El método incluye adicionalmente una siguiente etapa (506) de comunicación de las credenciales de pago e identificador a un servidor accesible de forma remota para comunicación adicional a un elemento seguro asociado con un dispositivo móvil del consumidor. Esta etapa puede incluir formatear las credenciales de pago e identificador en un mensaje de transacción financiera. El mensaje de transacción financiera puede, por ejemplo, ser un mensaje de transacción financiera de ISO 8583. El dispositivo de punto de venta puede adicionalmente configurarse para insertar un código de encaminamiento de servidor en el mensaje de transacción financiera de tal forma que el mensaje de transacción financiera se encamina al servidor accesible de forma remota mediante una red de procesamiento de pago y no, por ejemplo, un banco emisor como se indica por el BIN incluido originalmente en las credenciales de pago.The method further includes a next step (506) of communicating the payment credentials and identifier to a remotely accessible server for additional communication to a secure item associated with a consumer mobile device. This stage may include formatting the payment credentials and identifier in a financial transaction message. The financial transaction message may, for example, be an ISO 8583 financial transaction message. The point of sale device may additionally be configured to insert a server routing code into the financial transaction message such that the Financial transaction is routed to the remotely accessible server via a payment processing network and not, for example, an issuing bank as indicated by the BIN originally included in the payment credentials.

Si se solicita, el consumidor puede introducir credenciales adicionales en el dispositivo de punto de venta y pueden comunicarse al servidor accesible de forma remota, por ejemplo, valores de verificación de tarjeta no legibles por máquina (por ejemplo, datos CVV2).If requested, the consumer can enter additional credentials at the point of sale device and they can communicate to the remotely accessible server, for example, card verification values that are not machine-readable (for example, CVV2 data).

En la Figura 6A se ilustra un servidor accesible de forma remota para proporcionar de credenciales de pago, tal como el de las Figuras 1, 2 y 3. El servidor accesible de forma remota (140) tiene un receptor de credenciales de pago (602) para recibir credenciales de pago. Las credenciales de pago pueden recibirse desde un dispositivo de punto de venta en el que las credenciales de pago pueden haberse obtenido desde un dispositivo de pago portátil presentado por un consumidor. El servidor accesible de forma remota (140) tiene un receptor de identificador (604) para recibir, desde el dispositivo de punto de venta, un identificador introducido por el consumidor. En algunos ejemplos el receptor de credenciales de pago (602) y el receptor de identificador (604) pueden proporcionarse en un único receptor que puede configurarse para recibir credenciales de pago y un identificador en un mensaje de transacción financiera. En algunos ejemplos, el mensaje de transacción financiera puede ser un mensaje ISO 8583. El servidor accesible de forma remota (140) puede incluir un componente de cifrado (606) para cifrar las credenciales de pago recibidas, teniendo las credenciales de pago cifradas una clave de descifrado única. El servidor accesible de forma remota (140) puede tener una memoria segura (608) incorporada en el mismo o asociada con el servidor accesible de forma remota (140) para almacenar una de las credenciales de pago cifradas o la clave de descifrado única. En la realización ilustrada, la memoria segura (608) y el componente de cifrado (606) están dentro de un módulo de seguridad de hardware (644) del servidor accesible de forma remota (140).Figure 6A illustrates a remotely accessible server for providing payment credentials, such as the one in Figures 1, 2, and 3. The remotely accessible server (140) has a payment credential receiver (602). to receive payment credentials. Payment credentials can be received from a point of sale device where payment credentials may have been obtained from a portable payment device presented by a consumer. The remotely accessible server (140) has an identifier receiver (604) to receive, from the point of sale device, an identifier entered by the consumer. In some examples, the payment credential receiver 602 and the identifier receiver 604 can be provided in a single receiver that can be configured to receive payment credentials and an identifier in a financial transaction message. In some examples, the financial transaction message may be an ISO 8583 message. The remotely accessible server 140 may include an encryption component 606 to encrypt the received payment credentials, the encrypted payment credentials having a key single decryption. The remotely accessible server (140) may have secure memory (608) incorporated therein or associated with the remotely accessible server (140) to store one of the encrypted payment credentials or the unique decryption key. In the illustrated embodiment, the secure memory (608) and the encryption component (606) are contained within a remotely accessible server hardware security module (644) (140).

El servidor accesible de forma remota (140) puede incluir un componente de identificación (610) para identificar un dispositivo móvil y/o elemento seguro que corresponde al identificador. En la realización ilustrada, el componente de identificación (610) forma parte de una base de datos (642) del servidor accesible de forma remota (140) en la que uno o más del grupo de: un identificador; clave de descifrado; credenciales de pago cifradas; y dirección de comunicación pueden asociarse con un perfil de usuario.The remotely accessible server 140 may include an identification component 610 to identify a mobile device and / or secure element that corresponds to the identifier. In the illustrated embodiment, the identification component (610) is part of a remotely accessible server database (642) (140) in which one or more of the group of: an identifier; decryption key; encrypted payment credentials; and communication address can be associated with a user profile.

El servidor accesible de forma remota (140) incluye adicionalmente un módulo de comunicación (612) para comunicar al dispositivo móvil identificado o el elemento seguro asociado con el dispositivo móvil. El módulo de comunicación puede comunicarse con el dispositivo móvil a través de cualquier red de datos móviles o de comunicación móvil apropiada. El módulo de comunicación (612) puede configurar un canal de comunicación seguro con el elemento seguro a través del dispositivo móvil para comunicación de una de las credenciales de pago cifradas o la clave de descifrado única.The remotely accessible server (140) further includes a communication module (612) to communicate to the identified mobile device or the secure element associated with the mobile device. The communication module can communicate with the mobile device through any appropriate mobile data or mobile communication network. The communication module (612) can configure a secure communication channel with the secure element through the mobile device for communication of one of the encrypted payment credentials or the unique decryption key.

El servidor accesible de forma remota (140) puede incluir opcionalmente un componente de autorización (646) para enviar un registro o petición de activación a un servicio de gestión confiable (TSM) que gestiona claves de seguridad o testigos que se usan para acceder a un elemento seguro.The remotely accessible server (140) may optionally include an authorization component (646) to send a registration or activation request to a trusted management service (TSM) that manages security keys or tokens that are used to access a safe item.

El servidor accesible de forma remota (140) puede incluir opcionalmente un componente de credenciales adicionales (648) para solicitar o suministrar credenciales adicionales para comunicar al dispositivo móvil o el elemento seguro. El componente de credenciales adicionales (648) puede solicitar credenciales adicionales desde un consumidor a través de un dispositivo de punto de venta, por ejemplo, valores de verificación de tarjeta legibles por el ser humano, que se reenvían para almacenamiento en el elemento seguro asociado con el dispositivo móvil. Como alternativa o adicionalmente, el componente de credenciales adicional (648) puede suministrar credenciales adicionales almacenados en el servidor accesible de forma remota o un servidor remoto relacionado, por ejemplo, en forma de software de valor de verificación de tarjeta dinámico (dCVV) usado para generar un dCVV para transacciones individuales. Las credenciales adicionales suministradas pueden reenviarse para almacenamiento en el elemento seguro asociado con el dispositivo móvil.The remotely accessible server (140) may optionally include an additional credential component (648) to request or supply additional credentials to communicate to the mobile device or secure element. The additional credentials component (648) can request additional credentials from a consumer through a point of sale device, for example, human readable card verification values, which are forwarded for storage in the secure item associated with the mobile device. Alternatively or additionally, the additional credentials component (648) may supply additional credentials stored on the remotely accessible server or a related remote server, for example in the form of dynamic card verification value (dCVV) software used to generate a dCVV for individual transactions. The supplied additional credentials can be forwarded for storage on the secure item associated with the mobile device.

En la Figura 6B se ilustra un dispositivo de punto de venta para proporcionar de credenciales de pago, tal el que de las Figuras 1, 2 y 3.Figure 6B illustrates a point of sale device for providing payment credentials, such as that of Figures 1, 2 and 3.

El dispositivo de punto de venta (120) puede incluir un componente de obtención de credenciales de pago (652) que puede ser en forma de un lector de tarjetas o escáner como se ha descrito anteriormente. El dispositivo de punto de venta (120) también puede incluir un receptor de identificador (654) para recibir un identificador como entrada por un consumidor. The point of sale device (120) may include a payment credential obtaining component (652) which may be in the form of a card reader or scanner as described above. The point of sale device (120) can also include an identifier receiver (654) to receive an identifier as input by a consumer.

El dispositivo de punto de venta (120) puede incluir un módulo de comunicación (656) para comunicación con un servidor accesible de forma remota. El módulo de comunicación (656) puede comunicarse con el servidor accesible de forma remota de forma segura usando mensajes de transacciones financieras.The point of sale device (120) can include a communication module (656) for communication with a remotely accessible server. The communication module 656 can communicate with the remotely accessible server securely using financial transaction messages.

En algunos ejemplos, el dispositivo de punto de venta (120) puede incluir un componente de autorización (658) para enviar un registro o petición de activación a un servicio de gestión confiable (TSM) que gestiona claves de seguridad o testigos que se usan para acceder a un elemento seguro.In some examples, the point of sale device 120 may include an authorization component 658 to send a registration or activation request to a trusted management service (TSM) that manages security keys or tokens that are used to access a secure item.

En ejemplos adicionales, el dispositivo de punto de venta (120) puede incluir un receptor de credenciales adicionales (659) para recibir credenciales adicionales desde un cliente, por ejemplo, en forma de un valor de verificación de tarjeta impreso que no es obtenible por el componente de obtención de credenciales de pago (652).In further examples, the point of sale device (120) may include an additional credential receiver (659) to receive additional credentials from a customer, for example, in the form of a printed card verification value that is not obtainable from the component for obtaining payment credentials (652).

La Figura 7 muestra un diagrama de flujo en carriles que ilustra el flujo entre un dispositivo móvil (112), un dispositivo de punto de venta (120) y un servidor accesible de forma remota (140) de acuerdo con ejemplos. El servidor accesible de forma remota (140) puede proporcionarse por una institución financiera o proveedor de servicios. En un ejemplo, el servidor accesible de forma remota (140) es parte de una red de procesamiento de pago.Figure 7 shows a lane flow diagram illustrating the flow between a mobile device (112), a point of sale device (120) and a remotely accessible server (140) according to examples. The remotely accessible server 140 may be provided by a financial institution or service provider. In one example, the remotely accessible server 140 is part of a payment processing network.

Un consumidor puede presentar (701) su dispositivo de pago portátil (por ejemplo, una tarjeta de pago) en el dispositivo de punto de venta que puede extraer credenciales de pago desde el dispositivo de pago portátil. El consumidor también puede proporcionar (702) un identificador. Por ejemplo, el consumidor puede presentar a un comerciante su tarjeta de pago que puede insertarse en un dispositivo de punto de venta y puede solicitarse una transacción de “transferencia de credenciales”. Puede avisarse al consumidor para su PIN de tarjeta de pago que puede introducirse en el dispositivo de punto de venta a través de un teclado numérico. El dispositivo de punto de venta también puede avisar al consumidor para un “alias” que se usa como un identificador para el consumidor y su dispositivo móvil.A consumer may present (701) their portable payment device (eg, a payment card) at the point of sale device that can extract payment credentials from the portable payment device. The consumer may also provide (702) an identifier. For example, the consumer may present a payment card to a merchant that can be inserted into a point of sale device and a “credential transfer” transaction may be requested. The consumer can be notified for their payment card PIN which can be entered into the point of sale device through a numeric keypad. The point of sale device can also alert the consumer to an "alias" that is used as an identifier for the consumer and their mobile device.

El dispositivo de punto de venta puede formatear (703) las credenciales de pago y el identificador extraídos en un mensaje de transacción, por ejemplo, un mensaje ISO 8583. Este mensaje es similar a un mensaje de transacción de punto de venta normal con la adición del identificador proporcionado. El campo del BIN puede rellenarse con un BIN de red de procesamiento de pago de modo que el mensaje se encamina a una pasarela de procesamiento de pago en lugar de un emisor. El BIN del consumidor permanece proporcionado en el mensaje.The point of sale device can format (703) the extracted payment credentials and identifier in a transaction message, for example, an ISO 8583 message. This message is similar to a normal point of sale transaction message with the addition the provided identifier. The BIN field can be populated with a payment processing network BIN so that the message is routed to a payment processing gateway instead of a sender. The consumer's BIN remains provided in the message.

El servidor accesible de forma remota recibe (704) el mensaje de transacción y extrae las credenciales de pago y el identificador. El identificador se usa para identificar (705) uno o más de: un consumidor que tiene un dispositivo móvil y/o elemento seguro registrados; una cuenta que tiene un dispositivo móvil y/o elemento seguro registrados; o propio el dispositivo móvil y/o elemento seguro.The remotely accessible server receives (704) the transaction message and extracts the payment credentials and identifier. The identifier is used to identify (705) one or more of: a consumer who has a registered mobile device and / or secure item; an account that has a registered mobile device and / or secure element; or own the mobile device and / or secure element.

El servidor accesible de forma remota puede cifrar (706) las credenciales de pago y puede generarse una clave de descifrado única específica para las credenciales de pago. Una de las credenciales de pago cifradas y la clave de descifrado única puede comunicarse de forma segura (707) al elemento seguro asociado con el dispositivo móvil, mientras que la otra de las credenciales de pago cifradas y la clave de descifrado única puede almacenarse (708) en el servidor accesible de forma remota.The remotely accessible server can encrypt (706) the payment credentials and a specific unique decryption key can be generated for the payment credentials. One of the encrypted payment credentials and the unique decryption key can be securely communicated (707) to the secure item associated with the mobile device, while the other of the encrypted payment credentials and the unique decryption key can be stored (708 ) on the remotely accessible server.

El elemento seguro asociado con el dispositivo móvil puede recibir (709) o bien las credenciales de pago cifradas o bien la clave de descifrado única y puede avisar al usuario para un PIN (710), el intervalo del cual se almacena en asociación con las credenciales de pago o la clave de descifrado de tal forma que las credenciales de pago se liberarán únicamente por el elemento seguro en el caso de que se introduzca el PIN correcto.The secure element associated with the mobile device can receive (709) either the encrypted payment credentials or the unique decryption key and can alert the user to a PIN (710), the interval of which is stored in association with the credentials or the decryption key in such a way that the payment credentials will be released only by the secure element in case the correct PIN is entered.

La Figura 8 es un diagrama en carriles que ilustra el flujo entre un dispositivo móvil (112), un dispositivo de punto de venta (120) y un servidor accesible de forma remota (140) de acuerdo con una realización del método descrito en el que la clave de descifrado para las credenciales de pago se proporciona al elemento seguro asociado con el dispositivo móvil.Figure 8 is a lane diagram illustrating the flow between a mobile device (112), a point of sale device (120) and a remotely accessible server (140) in accordance with an embodiment of the described method in which the decryption key for payment credentials is provided to the secure item associated with the mobile device.

Un consumidor puede presentar (801) un identificador a un comerciante como un método de pago en la realización de una transacción. El comerciante puede solicitar (802) credenciales de pago desde el servidor accesible de forma remota enviando el identificador con la petición.A consumer may present (801) an identifier to a merchant as a method of payment in the conduct of a transaction. The merchant can request (802) payment credentials from the remotely accessible server by sending the identifier with the request.

El servidor accesible de forma remota puede usar el identificador recibido para identificar (803) un dispositivo móvil asociado con un elemento seguro en el que se almacena una clave de descifrado. El servidor accesible de forma remota puede solicitar (804) la clave de descifrado a través de una comunicación segura con el elemento seguro que puede ser a través del dispositivo móvil.The remotely accessible server can use the received identifier to identify (803) a mobile device associated with a secure element in which a decryption key is stored. The remotely accessible server can request (804) the decryption key through secure communication with the secure element, which can be through the mobile device.

El dispositivo móvil tras recibir la petición puede avisar (805) al consumidor para un PIN antes de comunicar (806) la clave de descifrado al servidor accesible de forma remota. The mobile device upon receipt of the request can notify (805) the consumer for a PIN before communicating (806) the decryption key to the remotely accessible server.

El servidor accesible de forma remota puede recuperar (807) las credenciales de pago cifradas desde su almacenamiento y descifrar (808) las credenciales de pago usando la clave de descifrado. A continuación pueden transmitirse (809) y recibirse (810) las credenciales de pago en un dispositivo de punto de venta u otro intermediario usando un canal seguro para completar la transacción.The remotely accessible server can retrieve (807) encrypted payment credentials from its storage and decrypt (808) payment credentials using the decryption key. The payment credentials can then be transmitted (809) and received (810) at a point of sale device or other intermediary using a secure channel to complete the transaction.

Una ventaja de almacenar credenciales de pago, cifradas, en un servidor accesible de forma remota en lugar de en un elemento seguro de un dispositivo móvil, de acuerdo con ejemplos de la presente invención, es que si el elemento seguro del dispositivo móvil se pone en peligro por una tercera parte maliciosa y esa tercera parte obtiene información almacenada en el mismo, la información obtenida por la tercera parte no incluirá credenciales de pago. Esto es en contraste a escenarios en los que credenciales de pago se almacenan en el elemento seguro y en los que la tercera parte puede obtener y hacer uso de forma fraudulenta de estas credenciales de pago.An advantage of storing encrypted payment credentials on a remotely accessible server rather than on a secure element of a mobile device, in accordance with examples of the present invention, is that if the secure element of the mobile device is put into danger by a malicious third party and that third party obtains information stored in it, the information obtained by the third party will not include payment credentials. This is in contrast to scenarios where payment credentials are stored on the secure item and where the third party may fraudulently obtain and use these payment credentials.

Además de esto, en el caso de que el elemento seguro se ponga en peligro o pierda, la claves de descifrado almacenadas en el mismo pueden simplemente revocarse, sin tener que emitir de nuevo credenciales.In addition to this, in the event that the secure item is compromised or lost, the decryption keys stored in it can simply be revoked, without having to re-issue credentials.

Una ventaja adicional de almacenar las credenciales de pago, cifradas, en el servidor accesible de forma remota en lugar de en un elemento seguro de un dispositivo móvil es que el dispositivo móvil no necesita cumplir con normas de seguridad impuestas por normas pertinentes o autoridades de cumplimiento. Por ejemplo, el elemento seguro no necesita cumplir con EMV o puede no tener que cumplir con requisitos PCI DSS.An additional advantage of storing encrypted payment credentials on the remotely accessible server rather than on a secure element of a mobile device is that the mobile device does not need to comply with security regulations imposed by relevant regulations or compliance authorities . For example, the secure element does not need to comply with EMV or may not have to meet PCI DSS requirements.

De forma similar ya que la clave de descifrado única se almacena únicamente en el elemento seguro del dispositivo móvil del consumidor, las correspondientes credenciales de pago cifradas no pueden descifrarse y, en consecuencia, no pueden usarse, sin que la clave de descifrado se libere desde el elemento seguro en el que se almacena de forma segura. Por lo tanto el consumidor tiene control definitivo sobre cuándo pueden usarse sus credenciales de pago. Adicionalmente, si el servidor accesible de forma remota se pone en peligro por una tercera parte maliciosa, credenciales de pago cifradas almacenadas en el mismo no serán de utilidad a esa tercera parta sin una correspondiente clave de descifrado única.Similarly, since the unique decryption key is stored only in the secure element of the consumer's mobile device, the corresponding encrypted payment credentials cannot be decrypted and consequently cannot be used, without the decryption key being released from the secure item in which it is safely stored. Therefore the consumer has final control over when their payment credentials can be used. Additionally, if the remotely accessible server is compromised by a malicious third party, encrypted payment credentials stored on it will be of no use to that third party without a corresponding unique decryption key.

Las Figuras 9A a 9D se describen ahora ilustrando una realización alternativa de la invención en la que el sistema de provisión se proporciona por un quiosco (901).Figures 9A to 9D are now described illustrating an alternative embodiment of the invention in which the provisioning system is provided by a kiosk (901).

La Figura 9A ilustra un quiosco (901) que puede configurarse en tiendas minoristas, centros comerciales, aeropuertos y otros sitios públicos. Por ejemplo, el quiosco (901) puede configurarse convenientemente en un minorista de dispositivo móvil o una tienda de operador de red móvil para permitir que usuarios provisionen su recientemente comprado dispositivo móvil con capacidades de cartera digital, en algunos ejemplos, el quiosco (901) puede atornillarse al suelo o a una pared con hardware a prueba de manipulación. El quiosco (901) también puede implementarse para ser lo suficientemente pequeño, ligero y compacto para ser portátil de tal forma que el quiosco (901) puede moverse fácilmente de ubicación a ubicación. Por ejemplo, en algunos ejemplos, el quiosco (901) puede implementarse en un factor de forma similar a un ordenador de tableta o un portátil.Figure 9A illustrates a kiosk (901) that can be configured in retail stores, shopping malls, airports, and other public places. For example, the kiosk (901) can be conveniently configured at a mobile device retailer or mobile network operator store to allow users to provision their recently purchased mobile device with digital wallet capabilities, in some examples, the kiosk (901). Can be screwed to the floor or to a wall with tamper-proof hardware. The kiosk (901) can also be deployed to be small, light and compact enough to be portable so that the kiosk (901) can be easily moved from location to location. For example, in some examples, the kiosk (901) can be implemented in a form factor similar to a tablet or laptop computer.

El quiosco (901) incluye un visualizador (902), un interfaz de dispositivo móvil (910) y un lector de instrumento de almacenamiento de credenciales (920). El visualizador (902) puede rodearse por un alojamiento. El visualizador (902) puede situarse a una altura adecuada (por ejemplo, en un mostrador) para permitir que un usuario lea o vea fácilmente información o imágenes proporcionadas en el visualizador (902). El visualizador (902) puede usarse para proporcionar instrucciones al usuario durante el proceso de provisión de cartera digital. El visualizador (902) también puede usarse para mostrar anuncios, videos y/u otras imágenes cuando el quiosco (901) no se está usando. El visualizador (902) también puede actuar como una interfaz de entrada de usuario tal como pantalla táctil para aceptar entradas de usuario.Kiosk 901 includes a display 902, a mobile device interface 910, and a credential storage instrument reader 920. The display (902) can be surrounded by a housing. The display (902) can be positioned at a suitable height (eg, on a counter) to allow a user to easily read or view information or images provided on the display (902). The display 902 can be used to provide instructions to the user during the digital wallet provisioning process. The display (902) can also be used to display advertisements, videos, and / or other images when the kiosk (901) is not in use. The display 902 can also act as a user input interface such as a touch screen to accept user input.

La interfaz de dispositivo móvil (910) se usa para establecer un canal de comunicación o enlace entre el quiosco (901) y un dispositivo móvil. Un dispositivo móvil puede ser un teléfono móvil, un asistente digital personal, un dispositivo informático de tableta, dispositivo reproductor de medios portátil u otro dispositivo informático portátil adecuado que puede almacenar y ejecutar una aplicación de cartera digital. La interfaz de dispositivo móvil (910) puede ser un conector físico como se muestra que puede enchufarse en un puerto de comunicación físico de un dispositivo móvil. Por ejemplo, el conector físico puede ser un conector USB que puede enchufarse en un puerto USB (por ejemplo, mini-USB) de un dispositivo móvil. El conector físico también puede ser un conector propietario que es compatible con un puerto de comunicación propietario de algunos fabricantes de dispositivos móviles. El conector físico puede proporcionarse como una clavija, como parte de un cable (por ejemplo, un cable retráctil, un cable externo, etc.) que puede extenderse desde el alojamiento del quiosco (901), o como parte de una estación de acoplamiento o una plataforma incorporada en el alojamiento del quiosco (901). En algunas realizaciones, el quiosco (901) puede incluir múltiples tipos de conectores de tal forma que quiosco (901) puede ser compatible con un número de fabricantes de dispositivos móviles. En algunas realizaciones, la interfaz de dispositivo móvil (910) puede ser una interfaz inalámbrica (por ejemplo, transceptor inalámbrico) que se usa para establecer un canal de comunicación ad hoc con un dispositivo móvil usando NFC, RF, Bluetooth, Wi-Fi u otros protocolos de comunicación inalámbrica durante el proceso de provisión de cartera digital. El quiosco (901) también puede incluir uno o más conectores físicos en combinación con uno o más interfaces inalámbricas que pueden usarse para establecer un canal de comunicación con un dispositivo móvil.The mobile device interface (910) is used to establish a communication channel or link between the kiosk (901) and a mobile device. A mobile device may be a mobile phone, personal digital assistant, tablet computing device, portable media player device, or other suitable portable computing device that can store and run a digital wallet application. The mobile device interface (910) can be a physical connector as shown that can be plugged into a physical communication port of a mobile device. For example, the physical connector may be a USB connector that can be plugged into a USB port (for example, mini-USB) on a mobile device. The physical connector can also be a proprietary connector that is compatible with a proprietary communication port of some mobile device manufacturers. The physical connector can be provided as a plug, as part of a cable (for example, a retractable cable, an external cable, etc.) that can extend from the kiosk housing (901), or as part of a docking station or a platform built into the kiosk housing (901). In some embodiments, kiosk 901 can include multiple connector types such that kiosk 901 can be compatible with a number of mobile device manufacturers. In some embodiments, the mobile device interface (910) can be a wireless interface (eg, wireless transceiver) that is used to establish an ad hoc communication channel with a mobile device using NFC, RF, Bluetooth, Wi-Fi, or other wireless communication protocols during the digital portfolio provision process. The kiosk (901) can also include one or more physical connectors in combination with one or more wireless interfaces that can be used to establish a communication channel with a mobile device.

Lector de instrumento de almacenamiento de credenciales (920) del quiosco (901) se usa para leer o acceder a un instrumento de almacenamiento de credenciales (905) (también denominado en este documento como un dispositivo de pago portátil) para obtener credenciales y/u otra información de usuario o cuenta almacenada en el instrumento de almacenamiento de credenciales (905). El lector de instrumento de almacenamiento de credenciales (920) puede ser un lector de banda magnética o un lector de tarjeta con chip para leer credenciales desde el instrumento de almacenamiento de credenciales (905) a través de contacto físico con el instrumento de almacenamiento de credenciales (905). El lector de instrumento de almacenamiento de credenciales (920) puede ser un escáner de infrarrojos tal como escáner de un código de barras o código QR para leer credenciales que se codifican como una imagen, o puede ser un lector de tarjeta sin contacto capaz de comunicarse con el instrumento de almacenamiento de credenciales (905) a través de NFC, RF, Bluetooth, Wi-Fi u otros protocolos de comunicación inalámbrica para leer credenciales desde el instrumento de almacenamiento de credenciales (905) de una manera inalámbrica cuando el instrumento de almacenamiento de credenciales (905) está en proximidad cercana al quiosco (901). En algunas realizaciones, el quiosco (901) puede incluir uno o más tipos de lector de instrumento de almacenamiento de credenciales descritos anteriormente.Credential storage instrument reader (920) from kiosk (901) is used to read or access a credential storage instrument (905) (also referred to herein as a portable payment device) to obtain credentials and / or other user or account information stored on the credential storage instrument (905). The credential storage instrument reader (920) can be a magnetic stripe reader or a chip card reader to read credentials from the credential storage instrument (905) through physical contact with the credential storage instrument (905). The credential storage instrument reader (920) can be an infrared scanner such as a barcode or QR code scanner to read credentials that are encoded as an image, or it can be a contactless card reader capable of communicating with the credential storage instrument (905) via NFC, RF, Bluetooth, Wi-Fi or other wireless communication protocols to read credentials from the credential storage instrument (905) wirelessly when the storage instrument credentials (905) is in close proximity to the kiosk (901). In some embodiments, kiosk 901 may include one or more types of credential storage instrument reader described above.

El instrumento de almacenamiento de credenciales (905) puede ser en forma de una tarjeta (por ejemplo, de crédito/débito y otra tarjeta de pago, tarjeta de identificación, tarjeta de carnet de conducir, tarjeta de tránsito, tarjeta de acceso, tarjeta de seguro, tarjeta de fidelización de minorista, tarjeta regalo, etc.) u otra estructura adecuada. El instrumento de almacenamiento de credenciales (905) puede incluir una banda magnética y/o un chip de memoria para almacenar las credenciales del usuario. El instrumento de almacenamiento de credenciales (905) también puede ser un medio impreso que incluye una imagen que codifica las credenciales del usuario tal como un código de barras o un código QR. En algunas realizaciones, el instrumento de almacenamiento de credenciales (905) también puede ser el dispositivo móvil existente de un usuario que tiene las credenciales del usuario almacenadas en el mismo.The credential storage instrument (905) can be in the form of a card (for example, credit / debit and other payment card, identification card, driver's license card, transit card, access card, card of insurance, retail loyalty card, gift card, etc.) or other suitable structure. The credential storage instrument (905) can include a magnetic stripe and / or a memory chip to store the user's credentials. The credential storage instrument (905) can also be a printed medium that includes an image that encodes the user's credentials such as a barcode or a QR code. In some embodiments, the credential storage instrument 905 may also be a user's existing mobile device that has the user's credentials stored therein.

Credenciales pueden incluir información almacenada en un instrumento de almacenamiento de credenciales que puede usarse para realizar una transacción con el instrumento de almacenamiento de credenciales. Por ejemplo, credenciales pueden ser información que se usa para identificar y/o verificar el usuario, o para identificar o acceder a una cuenta asociada con el instrumento de almacenamiento de credenciales. Credenciales pueden incluir información financiera, información de identificación, información de cuenta, información de tránsito (por ejemplo, como en un billete de metro o tren), información de acceso (por ejemplo, como placas de acceso), etc. Algunos ejemplos de credenciales incluyen información de cuenta bancaria, número de cuenta primario (PAN), número de identificación bancaria (BIN), número de tarjeta de crédito o débito, fecha de expiración, nombre, nombre de usuario, fecha de nacimiento, número de carnet de conducir, dirección, número de la seguridad social, número de pasaporte, número de póliza del seguro tal como número de cuenta del seguro médico o del automóvil, número de cuenta de programa de fidelización de viajes o del minorista, número de tarjeta regalo, número de cuenta de tarifa de tránsito, número de identificación de empleado o similares. Credenciales también pueden incluir información adicional que se usa para facilitar una transacción. Por ejemplo, credenciales pueden incluir un valor de verificación de tarjeta (CVV) y/o un código de servicio usado para facilitar el procesamiento de una transacción.Credentials can include information stored in a credential vault that can be used to transact with the credential vault. For example, credentials may be information that is used to identify and / or verify the user, or to identify or access an account associated with the credential storage instrument. Credentials can include financial information, identification information, account information, transit information (for example, as on a subway or train ticket), access information (for example, as access plates), etc. Some examples of credentials include bank account information, primary account number (PAN), bank identification number (BIN), credit or debit card number, expiration date, name, username, date of birth, number of driver's license, address, social security number, passport number, insurance policy number such as car or health insurance account number, travel or retail loyalty program account number, gift card number , transit fee account number, employee identification number or the like. Credentials may also include additional information that is used to facilitate a transaction. For example, credentials can include a card verification value (CVV) and / or a service code used to facilitate the processing of a transaction.

En algunos ejemplos, credenciales también pueden incluir información adicional que se usa para facilitar una transacción, pero no se almacena en el instrumento de almacenamiento de credenciales (905) o no puede recuperarse por lector de instrumento de almacenamiento de credenciales (920) del quiosco (901). Por ejemplo, credenciales pueden incluir un valor de verificación de tarjeta 2 (CVV2) que se imprime en la cara de una tarjeta de crédito, pero puede no recuperarse leyendo la banda magnética de la tarjeta. Credenciales también pueden incluir software de código de verificación de tarjeta dinámico (dCVV) que se usa para generar un dCVV para transacciones individuales. Para tales credenciales que no se almacenan en el instrumento de almacenamiento de credenciales (905) o no pueden recuperarse por el lector de instrumento de almacenamiento de credenciales (920), el quiosco (901) puede obtener tales credenciales del emisor de instrumento de almacenamiento de credenciales (905) durante el proceso de provisión de tal forma que estas credenciales pueden cargarse en el dispositivo móvil.In some examples, credentials may also include additional information that is used to facilitate a transaction, but is not stored in the credentials storage instrument (905) or cannot be retrieved by the credentials storage instrument reader (920) from the kiosk ( 901). For example, credentials may include a Card Verification Value 2 (CVV2) that is printed on the face of a credit card, but may not be retrieved by reading the card's magnetic stripe. Credentials can also include dynamic card verification code (dCVV) software that is used to generate a dCVV for individual transactions. For such credentials that are not stored in the credential storage instrument (905) or cannot be retrieved by the credential storage instrument reader (920), the kiosk (901) can obtain such credentials from the storage instrument issuer of credentials (905) during the provisioning process such that these credentials can be uploaded to the mobile device.

Credenciales pueden almacenarse en un chip de memoria del instrumento de almacenamiento de credenciales (905) o pueden codificarse como una imagen impresa en el instrumento de almacenamiento de credenciales (905). Credenciales almacenadas en el instrumento de almacenamiento de credenciales (905) también pueden almacenarse en forma de pistas de datos magnéticas tal como las asociadas tradicionalmente con tarjetas de crédito. Tales pistas pueden incluir Pista 1 y Pista 2. Pista 1 (“Asociación Internacional de Transporte Aéreo”) almacena más información que la Pista 2, y contiene el nombre del titular de la tarjeta así como número de cuenta y otros datos discrecionales. Esta pista se usa en ocasiones por las compañías aéreas cuando aseguran reservas con una tarjeta de crédito. Pista 2 (“Asociación Americana de Banca”) es la más usada comúnmente en la actualidad. Esta es la pista que se leer por ATM y verificadores de tarjetas de crédito. La ABA (Asociación Americana de Banca) diseñó las especificaciones de esta pista y todos los bancos del mundo se atienen a la misma. Contiene la cuenta del titular de la tarjeta, PIN cifrado, más otros datos discrecionales. Credentials can be stored on a memory chip of the credential storage instrument (905) or can be encoded as a printed image on the credential storage instrument (905). Credentials stored in the credential storage instrument (905) can also be stored in the form of magnetic data tracks such as those traditionally associated with credit cards. Such tracks may include Track 1 and Track 2. Track 1 ("International Air Transport Association") stores more information than Track 2, and contains the name of the cardholder as well as account number and other discretionary data. This track is sometimes used by airlines when they secure reservations with a credit card. Track 2 ("American Banking Association") is the most commonly used today. This is the clue to be read by ATM and credit card verifiers. The ABA (American Banking Association) designed the specifications of this track and all banks in the world abide by it. Contains the cardholder's account, encrypted PIN, plus other discretionary data.

La Figura 9B ilustra un diagrama de bloques de un quiosco (901) de acuerdo con diversas realizaciones. El quiosco (901) incluye uno o más procesadores (921) acoplados a un medio de almacenamiento (204). El medio de almacenamiento (204) almacena código legible por máquina que puede ejecutarse por el procesador (921) para proporcionar capacidades de dispositivo móvil con cartera digital. El quiosco (901) incluye una o más interfaces de dispositivo móvil (910) y uno o más lectores de instrumento de almacenamiento de credenciales (920). El quiosco (901) incluye adicionalmente el visualizador (925) y sistema de sonido (924) que pueden usarse para proporcionar a un usuario con instrucciones visuales y de audio durante el proceso de provisión de la cartera digital. Cuando quiosco (901) no se está usando para proporcionar un dispositivo móvil, el visualizador (925) y el sistema de sonido 208 pueden usarse para presentar otros medios tal como anuncios o videos y sonidos informativos. El quiosco (901) también incluye interfaz de entrada de usuario (926) para recibir entradas de usuario. La interfaz de entrada de usuario (926) puede implementarse con uno o más de una pantalla táctil, un teclado numérico, un teclado, un panel táctil, un ratón, una almohadilla táctil, un micrófono u otros componentes de interfaz de entrada de usuario adecuados.Figure 9B illustrates a block diagram of a kiosk (901) according to various embodiments. The kiosk (901) includes one or more processors (921) coupled to a storage medium (204). The storage medium 204 stores machine-readable code that can be executed by the processor 921 to provide digital wallet mobile device capabilities. Kiosk 901 includes one or more mobile device interfaces 910 and one or more credential storage instrument readers 920. Kiosk 901 additionally includes display 925 and sound system 924 that can be used to provide a user with visual and audio instructions during the digital wallet provisioning process. When kiosk 901 is not being used to provide a mobile device, display 925 and sound system 208 can be used to present other media such as announcements or informational videos and sounds. Kiosk 901 also includes user input interface 926 for receiving user input. The user input interface (926) can be implemented with one or more of a touch screen, a numeric keypad, a keyboard, a touchpad, a mouse, a touch pad, a microphone, or other suitable user input interface components. .

En algunos ejemplos, el quiosco (901) puede incluir una la interfaz de red (923) para permitir que el quiosco (901) se comunique, si fuera necesario, con entidades que pueden implicarse con el proceso de provisión de la cartera digital. Por ejemplo, la interfaz de red (923) puede usarse por el quiosco (901) para comunicar con un emisor del instrumento de almacenamiento de credenciales (por ejemplo, un banco que emitió una tarjeta de crédito, una agencia de tránsito que emitió una tarjeta de acceso de tránsito, una agencia del gobierno que emitió una tarjeta de identificación, un minorista que emitió una tarjeta de programa de fidelización, etc.). La interfaz de red (923) también puede usarse por el quiosco (901) para comunicar con un gestor de servicios confiable para adquirir claves de seguridad o testigos que se usan para proporcionar capacidades de dispositivo móvil con cartera digital. El quiosco (901) también puede comunicarse con un operador de red móvil a través de la interfaz de red (923) para verificar o acceder a información asociada a un dispositivo móvil. La interfaz de red (923) puede implementarse como una interfaz inalámbrica tal como un puerto de Ethernet o como una interfaz inalámbrica tal como un transceptor inalámbrico que puede acceder a una red inalámbricamente (por ejemplo, usando Wi-Fi u otro protocolo de comunicación inalámbrica).In some examples, kiosk 901 may include a network interface 923 to allow kiosk 901 to communicate, if necessary, with entities that may be involved with the digital wallet provisioning process. For example, network interface 923 can be used by kiosk 901 to communicate with an issuer of the credential storage instrument (for example, a bank that issued a credit card, a transit agency that issued a card transit access, a government agency that issued an ID card, a retailer that issued a loyalty program card, etc.). Network interface 923 can also be used by kiosk 901 to communicate with a trusted service manager to acquire security keys or tokens that are used to provide digital wallet mobile device capabilities. Kiosk 901 can also communicate with a mobile network operator through network interface 923 to verify or access information associated with a mobile device. The network interface (923) can be implemented as a wireless interface such as an Ethernet port or as a wireless interface such as a wireless transceiver that can access a network wirelessly (for example, using Wi-Fi or another wireless communication protocol. ).

La Figura 9C ilustra un sistema (930) para proporcionar un dispositivo móvil (931) con capacidades de cartera digital usando el quiosco (901). El dispositivo móvil (931) puede ser un dispositivo móvil recientemente comprado o puede ser un dispositivo móvil existente que un usuario ya posee. En algunas realizaciones, el dispositivo móvil (931) puede precargarse con una aplicación de cartera digital, y el quiosco (901) se usa para cargar credenciales en la aplicación de cartera digital del dispositivo móvil (931). En otras realizaciones, el quiosco (901) puede usarse para cargar una aplicación de cartera digital junto con credenciales personalizadas en el dispositivo móvil (931) si el dispositivo móvil (931) no incluye una aplicación de cartera digital precargada.Figure 9C illustrates a system (930) for providing a mobile device (931) with digital wallet capabilities using the kiosk (901). The mobile device 931 may be a recently purchased mobile device or it may be an existing mobile device that a user already owns. In some embodiments, the mobile device 931 can be preloaded with a digital wallet application, and the kiosk 901 is used to upload credentials to the digital wallet application of the mobile device 931. In other embodiments, kiosk 901 can be used to upload a digital wallet application along with personalized credentials to mobile device 931 if mobile device 931 does not include a preloaded digital wallet application.

De acuerdo con algunos ejemplos, el quiosco (901) se acopla comunicativamente a un gestor de servicios confiable (TSM) (933), por ejemplo, a través de una red (932). El TSM (933) ofrece servicios para soportar servicios de transacción sin contacto que se realizan con dispositivos móviles. Las funcionalidades básicas que pueden proporcionarse por el TSM (933) incluyen la capacidad de gestionar claves de seguridad o testigos que se usan para acceder al chip de elemento seguro (SE) de un dispositivo móvil (por ejemplo, un chip de memoria segura o una partición asegurada de una memoria) en el que pueden almacenarse credenciales de una aplicación de cartera digital. El SE se usa por el dispositivo móvil (931) para alojar y almacenar datos y aplicaciones que requieren un alto grado de seguridad. El SE puede proporcionarse al dispositivo móvil (931), por ejemplo, mediante una entidad de la red de procesamiento de pago tal como un emisor de una tarjeta de crédito, mediante un proveedor de servicios de transacciones sin contacto, mediante un operador de red móvil (MNO), mediante un fabricante de dispositivos móviles o mediante otras entidades adecuadas. Puede conseguirse acceso al SE del dispositivo móvil (931) obteniendo la clave de seguridad o testigo apropiado del proveedor de SE.According to some examples, the kiosk (901) is communicatively coupled to a reliable service manager (TSM) (933), for example, through a network (932). TSM (933) offers services to support contactless transaction services that are performed with mobile devices. The basic functionalities that can be provided by the TSM (933) include the ability to manage security keys or tokens that are used to access the secure element (SE) chip of a mobile device (for example, a secure memory chip or a secured partition of a memory) in which credentials of a digital wallet application can be stored. The SE is used by the mobile device (931) to host and store data and applications that require a high degree of security. The SE may be provided to the mobile device 931, for example, by a payment processing network entity such as a credit card issuer, by a contactless transaction service provider, by a mobile network operator. (MNO), through a mobile device manufacturer or through other appropriate entities. Access to the SE of the mobile device (931) can be obtained by obtaining the appropriate security key or token from the SE provider.

Aunque el TSM (933) se muestra como una entidad separada, en algunas realizaciones, el TSM (933) puede integrarse con sistema de emisor (935) para activar y personalizar una aplicación de cartera digital con credenciales de un usuario, o integrarse con el quiosco (901). Bajo solicitud, el TSM (933) puede obtener la clave de seguridad o testigo apropiado de un proveedor de SE para bloquear o desbloquear el SE en el dispositivo móvil (931), por ejemplo, para permitir que el quiosco (901) cargue credenciales de usuario en el SE del dispositivo móvil (931). Although the TSM (933) is shown as a separate entity, in some embodiments, the TSM (933) can integrate with the issuer system (935) to activate and customize a digital wallet application with user credentials, or integrate with the kiosk (901). Upon request, the TSM (933) can obtain the appropriate security key or token from an SE provider to lock or unlock the SE on the mobile device (931), for example, to allow the kiosk (901) to load login credentials. user in the SE of the mobile device (931).

La provisión del dispositivo móvil (931) para capacidades de cartera digital puede iniciarse cuando un usuario interactúa con el quiosco (901) proporcionando entrada de usuario a una interfaz de entrada de usuario del quiosco (901), por ejemplo, tocando una pantalla táctil del quiosco (901) o presionando una tecla en un teclado del quiosco (901), etc. Tras la interactuación del usuario, el quiosco (901) puede proporcionar instrucciones visuales y/o de audio para que el usuario complete el proceso de provisión. Por ejemplo, el quiosco (901) puede visualizar un mensaje que ordena al usuario que conecte comunicativamente el dispositivo móvil del usuario (931) al quiosco (901).The provision of the mobile device 931 for digital wallet capabilities can be initiated when a user interacts with the kiosk 901 by providing user input to a kiosk 901 user input interface, for example, by touching a touch screen of the kiosk (901) or by pressing a key on a kiosk keyboard (901), etc. Upon user interaction, kiosk 901 can provide visual and / or audio instructions for the user to complete the provisioning process. For example, the kiosk (901) may display a message instructing the user to communicatively connect the user's mobile device (931) to the kiosk (901).

Para conectar comunicativamente el dispositivo móvil del usuario (931) al quiosco (901), un usuario puede conectar físicamente el dispositivo móvil (931) a la interfaz de dispositivo móvil (por ejemplo, un conector o cable) del quiosco (901) para un canal de comunicación por cable, o situando el dispositivo móvil (931) en proximidad cercana al interfaz de dispositivo móvil (por ejemplo, transceptor inalámbrico) del quiosco (901) para permitir que se establezca un canal de comunicación inalámbrica ad hoc entre el dispositivo móvil (931) y el quiosco (901). El canal de comunicación inalámbrica ad hoc puede establecerse a través de NFC, RF, Bluetooth, Wi-Fi u otros protocolos de comunicación inalámbrica adecuados. En algunas realizaciones, cuando el quiosco (901) detecta que un dispositivo móvil (931) está en proximidad cercana, el quiosco (901) puede visualizar un mensaje preguntado si el usuario concede permiso para que el quiosco (901) establezca un canal de comunicación inalámbrica con el dispositivo móvil (931).To communicatively connect the user's mobile device (931) to the kiosk (901), a user can physically connect the mobile device (931) to the mobile device interface (eg, a connector or cable) of the kiosk (901) for a communication channel by cable, or by placing the mobile device (931) in close proximity to the mobile device interface (eg, wireless transceiver) of the kiosk (901) to allow it to be established an ad hoc wireless communication channel between the mobile device (931) and the kiosk (901). The ad hoc wireless communication channel can be established through NFC, RF, Bluetooth, Wi-Fi or other suitable wireless communication protocols. In some embodiments, when kiosk 901 detects that a mobile device 931 is in close proximity, kiosk 901 may display a message asking if the user grants permission for kiosk 901 to establish a communication channel. wireless with mobile device (931).

Una vez que se establece un canal de comunicación (por cable o inalámbrico) entre el dispositivo móvil (931) y quiosco (901), el quiosco (901) puede proporcionar adicionalmente instrucciones visuales y/o de audio al usuario para presentar un instrumento de almacenamiento de credenciales (905) para continuar con el proceso de provisión de la cartera digital. Por ejemplo, el quiosco (901) puede ordenar al usuario que sitúe instrumento de almacenamiento de credenciales (905) en contacto físico con el lector de instrumento de almacenamiento de credenciales del quiosco (901) (por ejemplo, deslizando o insertando una tarjeta de banda magnética en un lector de banda magnética, o insertando una tarjeta con chip en una ranura de lector de tarjeta con chip), o sitúe instrumento de almacenamiento de credenciales (905) en proximidad cercana con el lector de instrumento de almacenamiento de credenciales del quiosco (901) (por ejemplo, situando una tarjeta sin contacto en proximidad cercana a un lector de tarjeta sin contacto, o situando un medio impreso con un código de barras o Código QR frente a un escáner de infrarrojos). Tras presentar el instrumento de almacenamiento de credenciales (905) al lector de instrumento de almacenamiento de credenciales del quiosco (901), el quiosco (901) accede al instrumento de almacenamiento de credenciales (905) para leer credenciales de usuario del instrumento de almacenamiento de credenciales (905). Se ha de observar que aunque en el proceso anterior se establece primero un canal de comunicación entre el dispositivo móvil (931) y quiosco (901) antes de que se presente un instrumento de almacenamiento de credenciales al quiosco (901), en algunas realizaciones, puede presentarse al quiosco (901) un instrumento de almacenamiento de credenciales antes de conectar comunicativamente el dispositivo móvil (931) al quiosco (901). Adicionalmente, además de proporcionar entrada de usuario en la interfaz de entrada de usuario del quiosco (901) para iniciar el proceso, el proceso de provisión de la cartera digital puede iniciarse como alternativa simplemente conectando comunicativamente el dispositivo móvil (931) al quiosco (901) o presentando un instrumento de almacenamiento de credenciales al quiosco (901).Once a communication channel (wired or wireless) is established between the mobile device 931 and the kiosk 901, the kiosk 901 can additionally provide visual and / or audio instructions to the user to present a display instrument. storage of credentials (905) to continue the process of providing the digital wallet. For example, the kiosk (901) may instruct the user to place credential storage instrument (905) in physical contact with the credential storage instrument reader of kiosk (901) (for example, by sliding or inserting a band card card in a magnetic stripe reader, or by inserting a chip card into a chip card reader slot), or place credential storage instrument (905) in close proximity to the kiosk credential storage instrument reader ( 901) (for example, placing a contactless card in close proximity to a contactless card reader, or placing printed media with a barcode or QR code in front of an infrared scanner). After presenting the credential storage instrument (905) to the kiosk credential storage instrument reader (901), the kiosk (901) accesses the credential storage instrument (905) to read user credentials from the credentials (905). It should be noted that although in the above process a communication channel is first established between the mobile device (931) and the kiosk (901) before a credential storage instrument is presented to the kiosk (901), in some embodiments, A credential storage instrument may be presented to the kiosk (901) before communicatively connecting the mobile device (931) to the kiosk (901). Additionally, in addition to providing user input at the kiosk user input interface (901) to initiate the process, the digital wallet provisioning process can be initiated as an alternative simply by communicatively connecting the mobile device (931) to the kiosk (901 ) or by presenting a credential storage instrument to the kiosk (901).

Una vez que quiosco (901) ha recuperado credenciales de usuario del instrumento de almacenamiento de credenciales (905), el quiosco (901) puede efectuar un proceso de verificación para confirmar que el usuario está autorizado para proporcionar al dispositivo móvil (931) con credenciales del instrumento de almacenamiento de credenciales (905). En algunos ejemplos, el proceso de verificación puede efectuarse por el quiosco (901) sin requerir ninguna entrada de usuario adicional. Por ejemplo, el quiosco (901) puede recuperar un número de teléfono móvil y/o un identificador de dispositivo móvil del dispositivo móvil (931) que puede usarse para consultar el nombre de abonado de servicio móvil asociado con el dispositivo móvil (931) del operador de red móvil (936). El quiosco (901) también puede recuperar el nombre en el instrumento de almacenamiento de credenciales (905), o consultar el nombre asociado con el instrumento de almacenamiento de credenciales (905) usando credenciales recuperadas del instrumento de almacenamiento de credenciales (905) contactando el sistema de emisor (935). Si el nombre de abonado de servicio móvil coincide con el nombre de usuario del instrumento de almacenamiento de credenciales (905), puede asumirse que el usuario es el propietario apropiado tanto del dispositivo móvil (931) como del instrumento de almacenamiento de credenciales (905), y que el usuario está autorizado para proporcionar el dispositivo móvil (931) con credenciales del instrumento de almacenamiento de credenciales (905).Once the kiosk (901) has retrieved user credentials from the credential storage instrument (905), the kiosk (901) can perform a verification process to confirm that the user is authorized to provide the mobile device (931) with credentials of the credential storage instrument (905). In some examples, the verification process can be performed by kiosk (901) without requiring any additional user input. For example, the kiosk (901) can retrieve a mobile phone number and / or a mobile device identifier from the mobile device (931) that can be used to query the mobile service subscriber name associated with the mobile device (931) from the mobile network operator (936). The kiosk (901) can also retrieve the name on the credentials storage instrument (905), or query the name associated with the credentials storage instrument (905) using credentials retrieved from the credentials storage instrument (905) by contacting the emitter system (935). If the mobile service subscriber name matches the username of the credentials storage instrument (905), it can be assumed that the user is the appropriate owner of both the mobile device (931) and the credentials storage instrument (905). , and that the user is authorized to provide the mobile device (931) with credentials from the credential storage instrument (905).

Se ha de observar que realizaciones de la presente invención proporcionan un método más seguro de provisión del dispositivo móvil (931) en comparación con algunos procesos de provisión durante la comunicación aérea (OTA), porque el instrumento de almacenamiento de credenciales (905) está en posesión física del usuario durante el proceso de provisión de quiosco. Esto puede evitar, por ejemplo, que un usuario fraudulento proporcione a un dispositivo móvil con credenciales robadas cuando el usuario fraudulento no tiene posesión física del instrumento de almacenamiento de credenciales.It should be noted that embodiments of the present invention provide a more secure method of provisioning the mobile device (931) compared to some provisioning processes during air communication (OTA), because the credential storage instrument (905) is in physical possession of the user during the kiosk provision process. This can prevent, for example, a fraudulent user from providing a mobile device with stolen credentials when the fraudulent user does not have physical possession of the credential storage instrument.

En algunos ejemplos, para seguridad adicional, antes de proceder adicionalmente con el proceso de provisión, el quiosco (901) puede solicitar que el usuario introduzca un número PIN asociado con el instrumento de almacenamiento de credenciales (905) para autenticar al usuario. El quiosco (901) puede solicitar como alternativa o adicionalmente que el usuario se registre en una cuenta en línea proporcionada por un emisor del instrumento de almacenamiento de credenciales (905) a través de un navegador con capacidad web, y/o solicitar que el usuario se registre en una cuenta en línea proporcionada por el operador de red móvil del dispositivo móvil (931).In some examples, for additional security, before proceeding further with the provisioning process, the kiosk (901) may request that the user enter a PIN number associated with the credential storage instrument (905) to authenticate the user. The kiosk (901) can alternatively or additionally request that the user register in an online account provided by an issuer of the credential storage instrument (905) through a web-capable browser, and / or request that the user register with an online account provided by the mobile network operator of the mobile device (931).

Después de que el quiosco (901) determina que el usuario está autorizado para proporcionar al dispositivo móvil (931) con credenciales del instrumento de almacenamiento de credenciales (905), el quiosco (901) puede enviar un registro o petición de activación al TSM (933). En algunos ejemplos, el registro o petición de activación se envía con los datos de personalización adecuados (por ejemplo, credenciales recuperadas del instrumento de almacenamiento de credenciales (905)). El TSM (933) puede procesar el registro o petición de activación personalizando una aplicación de cartera digital con los datos de personalización apropiados, desbloquear el SE del dispositivo móvil (931) y proporcionar la aplicación de cartera digital personalizada al quiosco (901) para descargar al dispositivo móvil (931). En algunos ejemplos, por ejemplo, en los que el dispositivo móvil (931) incluye una aplicación de cartera digital precargada, el TSM (933) puede procesar la petición desbloqueando el SE del dispositivo móvil (931) para permitir que el quiosco (901) transfiera credenciales recuperadas del instrumento de almacenamiento de credenciales (905) en el SE del dispositivo móvil (931). De acuerdo con algunos ejemplos, alguna o toda de la funcionalidad realizada por el TSM (9) puede integrarse en el quiosco (901).After the kiosk (901) determines that the user is authorized to provide the mobile device (931) with credential storage instrument (905) credentials, the kiosk (901) can send a registration or activation request to the TSM ( 933). In some examples, the registration or activation request is sent with the appropriate personalization data (for example, credentials retrieved from the credential storage instrument (905)). The TSM (933) can process the registration or activation request by customizing a digital wallet application with the appropriate personalization data, unlock the SE of the mobile device (931) and provide the personalized digital wallet application to the kiosk (901) for download to device mobile (931). In some examples, for example, where the mobile device (931) includes a preloaded digital wallet application, the TSM (933) can process the request by unlocking the SE of the mobile device (931) to allow the kiosk (901) Transfer credentials retrieved from the credential storage instrument (905) to the SE of the mobile device (931). According to some examples, some or all of the functionality performed by the TSM (9) can be integrated into the kiosk (901).

Dependiendo del tipo de instrumento de almacenamiento de credenciales (905) que se use, pueden necesitarse credenciales adicionales que no se almacenan en el instrumento de almacenamiento de credenciales (905), o credenciales adicionales que no pueden leerse por el lector de instrumento de almacenamiento de credenciales del quiosco (901) para habilitar que el dispositivo móvil (931) realice transacciones sin contacto. Por ejemplo, si el instrumento de almacenamiento de credenciales (905) es una tarjeta de crédito, puede requerirse un valor de verificación de tarjeta dinámico (dCVV) para realizar transacciones de pago sin contacto efectuadas por el dispositivo móvil (931). En tales ejemplos, durante el proceso de provisión de la cartera digital, el quiosco (901) puede enviar un registro o petición de activación al sistema de emisor (935) para obtener credenciales adicionales tal como un software de dCVV que puede usarse por el dispositivo móvil (931) para generar un dCVV cuando realiza transacciones de pago sin contacto. Las credenciales adicionales (por ejemplo, software de dCVV) obtenidas del sistema de emisor (935) pueden almacenarse en el SE del dispositivo móvil (931) junto con credenciales recuperadas del instrumento de almacenamiento de credenciales (905) durante el proceso de provisión de la cartera digital. En algunos ejemplos, las credenciales recuperas del instrumento de almacenamiento de credenciales (905) también pueden modificarse o aumentarse por el sistema de emisor (935) antes de almacenarse en el dispositivo móvil (931). Credenciales cargadas en el SE del dispositivo móvil (931) por el quiosco (901) también pueden usar normas de cifrado de datos tal como, por ejemplo, RSA con una clave de al menos 1024 bits, norma de encriptación de datos triple (DES), norma de encriptación avanzada de 128 bits (AES), un algoritmo de encriptación de flujo de RC4 que usa una longitud de clave mínima de 128 bits, etc.Depending on the type of credential storage instrument (905) being used, additional credentials may be required that are not stored on the credential storage instrument (905), or additional credentials that cannot be read by the credential storage instrument reader. Kiosk credentials (901) to enable mobile device (931) to perform contactless transactions. For example, if the credential storage instrument (905) is a credit card, a dynamic card verification value (dCVV) may be required to perform contactless payment transactions made by the mobile device (931). In such examples, during the digital wallet provisioning process, the kiosk (901) can send a registration or activation request to the issuer system (935) to obtain additional credentials such as dCVV software that can be used by the device. mobile (931) to generate a dCVV when you make contactless payment transactions. Additional credentials (eg, dCVV software) obtained from the issuer system (935) can be stored in the SE of the mobile device (931) along with credentials retrieved from the credential storage instrument (905) during the process of providing the digital wallet. In some examples, the credentials retrieved from the credential storage instrument (905) can also be modified or augmented by the issuer system (935) before being stored on the mobile device (931). Credentials uploaded to the mobile device SE (931) by the kiosk (901) can also use data encryption standards such as RSA with a key of at least 1024 bits, triple data encryption standard (DES) , 128-bit Advanced Encryption Standard (AES), an RC4 stream encryption algorithm that uses a minimum key length of 128 bits, etc.

Una vez que credenciales del instrumento de almacenamiento de credenciales (905) se han cargado en una aplicación de cartera digital del dispositivo móvil (931), el quiosco (901) puede proporcionar instrucciones visuales y/o de audio preguntando al usuario si el usuario desea cargar credenciales de instrumentos de almacenamiento de credenciales adicionales en el dispositivo móvil (931). Si es así, el proceso descrito anteriormente puede repetirse para cada instrumento de almacenamiento de credenciales. En algunos ejemplos, los instrumentos de almacenamiento de credenciales pueden procesarse en un modo por lotes. Por ejemplo, el quiosco (901) puede permitir que un usuario deslice primero múltiples instrumentos de almacenamiento de credenciales antes de que el quiosco (901) comience a cargar las respectivas credenciales en el dispositivo móvil (931). Credenciales de los múltiples instrumentos de almacenamiento de credenciales pueden almacenarse temporalmente en el quiosco (901), y una vez que el usuario ha presentado el número deseado de instrumentos de almacenamiento de credenciales al quiosco (901), el quiosco (901) a continuación comienza el proceso de provisión de carga las credenciales en el dispositivo móvil (931).Once credentials from the credential storage instrument (905) have been loaded into a digital wallet application on the mobile device (931), the kiosk (901) can provide visual and / or audio instructions asking the user if the user wants upload credentials from additional credential storage instruments to the mobile device (931). If so, the process described above can be repeated for each credential storage instrument. In some examples, credential storage instruments can be processed in a batch mode. For example, the kiosk (901) may allow a user to first slide multiple credential storage instruments before the kiosk (901) begins uploading the respective credentials to the mobile device (931). Credentials from multiple credential storage instruments can be temporarily stored at kiosk (901), and once the user has submitted the desired number of credential storage instruments to kiosk (901), kiosk (901) below begins the provisioning process uploads the credentials to the mobile device (931).

De acuerdo con algunos ejemplos, el quiosco (901) también puede usarse para transferir credenciales desde una aplicación de cartera digital a otra. Por ejemplo, cuando un usuario compra un nuevo dispositivo móvil, el usuario puede tener ya una aplicación de cartera digital personalizada en el antiguo dispositivo móvil del usuario. El usuario puede querer transferir las credenciales almacenadas en el antiguo dispositivo móvil al nuevo. En lugar de presentar para lectura instrumentos de almacenamiento de credenciales para quiosco (901) individuales, el usuario puede situar el antiguo dispositivo móvil del usuario en proximidad cercana al lector de instrumento de almacenamiento de credenciales del quiosco (901). El quiosco (901) puede a continuación acceder a la aplicación de cartera digital almacenada en el antiguo dispositivo móvil para recuperar las credenciales almacenadas en el mismo. Después de recuperar las credenciales del antiguo dispositivo móvil, el quiosco (901) puede proporcionar al nuevo dispositivo móvil con las credenciales recuperadas usando el proceso descrito anteriormente.According to some examples, the kiosk (901) can also be used to transfer credentials from one digital wallet application to another. For example, when a user purchases a new mobile device, the user may already have a personalized digital wallet application on the user's old mobile device. The user may want to transfer the credentials stored on the old mobile device to the new one. Instead of presenting individual kiosk credential storage instruments (901) for reading, the user may place the user's old mobile device in close proximity to the kiosk credential storage instrument reader (901). The kiosk (901) can then access the digital wallet application stored on the old mobile device to retrieve the credentials stored therein. After retrieving the credentials from the old mobile device, the kiosk (901) can provide the new mobile device with the recovered credentials using the process described above.

Además de o como una alternativa a la provisión del dispositivo móvil (931), el quiosco (901) también puede cargar credenciales en una cartera digital basada en la nube (934). La cartera digital basada en la nube (934) permite que credenciales a almacenar en almacenamiento accesible por red que es externo al dispositivo móvil (931). Usar la cartera digital basada en la nube (934) tiene la ventaja de que una vez que las credenciales se han cargado a la cartera digital basada en la nube (934), el usuario puede evitar tener que transferir las credenciales a un nuevo dispositivo móvil cada vez que el usuario cambia de dispositivos móviles. Por lo tanto, en algunos ejemplos, un usuario puede usar el quiosco (901) para cargar credenciales desde instrumentos de almacenamiento de credenciales en la cartera digital basada en la nube (934) sin la presencia de un dispositivo móvil.In addition to or as an alternative to provisioning the mobile device (931), the kiosk (901) can also upload credentials to a cloud-based digital wallet (934). The cloud-based digital wallet (934) allows credentials to be stored in network-accessible storage that is external to the mobile device (931). Using the cloud-based digital wallet (934) has the advantage that once the credentials have been uploaded to the cloud-based digital wallet (934), the user can avoid having to transfer the credentials to a new mobile device every time the user changes mobile devices. Therefore, in some examples, a user can use the kiosk (901) to upload credentials from credential storage instruments to the cloud-based digital wallet (934) without the presence of a mobile device.

En algunos ejemplos, el quiosco (901) puede realizar funciones de gestión de cartera digital adicionales. Por ejemplo, una vez que se ha proporcionado y personalizado la aplicación de cartera digital en el dispositivo móvil (931), el quiosco (901) puede permitir que un usuario compre medios digitales para el dispositivo móvil (931) usando credenciales cargadas en la aplicación de cartera digital. El quiosco (901) también puede permitir que un usuario deposite o añada valor en cuentas asociadas con las credenciales almacenadas en la aplicación de cartera digital. Por ejemplo, el quiosco (901) puede permitir que el usuario añada valor a una cuenta de tarifa de tránsito almacenada en la aplicación de cartera digital. Sin embargo, debería observarse que estas funciones adicionales son diferentes del proceso de provisión de la cartera digital en que estas funciones adicionales requieren que la aplicación de cartera digital tenga las credenciales necesarias antes de que estas funciones puedan realizarse. En contraste, el proceso de provisión descrito en este documento se usa para proporcionar al dispositivo móvil con credenciales que la aplicación de cartera digital carecía antes de proporcionarse por el quiosco (901). Quioscos de acuerdo con realizaciones de la invención pueden o no proporcionar las funciones adicionales anteriormente mencionadas.In some examples, the kiosk (901) can perform additional digital portfolio management functions. For example, once the digital wallet application has been provided and customized on the mobile device (931), the kiosk (901) may allow a user to purchase digital media for the mobile device (931) using credentials loaded into the application. of digital wallet. The kiosk (901) can also allow a user to deposit or add value to accounts associated with the credentials stored in the digital wallet application. For example, the kiosk (901) can allow the user to add value to a transit fee account stored in the digital wallet application. However, it should be noted that these additional functions are different from the digital portfolio provision process in that these additional functions require the Digital wallet application has the necessary credentials before these functions can be performed. In contrast, the provisioning process described in this document is used to provide the mobile device with credentials that the digital wallet application lacked before being provided by the kiosk (901). Kiosks according to embodiments of the invention may or may not provide the additional functions mentioned above.

La Figura 9D ilustra un diagrama de flujo de un método (950) realizado por un quiosco u otros dispositivos informáticos adecuados para proporcionar a una aplicación de cartera digital de un dispositivo móvil de acuerdo con algunas realizaciones. En el bloque (951), se establece un canal de comunicación entre el dispositivo móvil de un usuario. El canal de comunicación puede ser una conexión por cable o una conexión inalámbrica como se describe anteriormente. En el bloque (952), se accede a un instrumento de almacenamiento de credenciales tal como una tarjeta de banda magnética, una tarjeta con chip u otros instrumentos de almacenamiento de credenciales descritos anteriormente para recuperar credenciales almacenadas en el instrumento de almacenamiento de credenciales. En el bloque (953), se determina si el usuario está autorizado para proporcionar a una aplicación de cartera digital para el dispositivo móvil con las credenciales recuperadas. Esta determinación puede hacerse de acuerdo con cualquiera de los procesos descritos anteriormente. Si se determina que el usuario no está autorizado, en el bloque (956), el proceso se termina sin la provisión del dispositivo móvil. Si se determina que el usuario está autorizado, a continuación en el bloque (954), se hace una petición para desbloquear el elemento seguro (SE) del dispositivo móvil. El SE puede desbloquearse con una clave de seguridad o testigo proporcionado por un TSM o por un quiosco con funcionalidad de TSM integrada. Una vez que el SE del dispositivo móvil se desbloquea, se proporciona una aplicación de cartera digital para el dispositivo móvil descargando las credenciales de usuario recuperadas desde el instrumento de almacenamiento de credenciales en el SE. En algunas realizaciones, las credenciales de usuario pueden modificarse, aumentarse (por ejemplo, con un CVV2), y/o cifrarse antes de almacenarse en el SE del dispositivo móvil. El método (950) puede repetirse para múltiples instrumentos de almacenamiento de credenciales. Posterior al proceso de provisión, el SE de dispositivo móvil se bloquea para evitar acceso no autorizado.Figure 9D illustrates a flow chart of a method (950) performed by a kiosk or other suitable computing devices to provide a digital wallet application with a mobile device in accordance with some embodiments. At block 951, a communication channel is established between a user's mobile device. The communication channel can be a wired connection or a wireless connection as described above. At block 952, a credential storage instrument such as a magnetic stripe card, chip card, or other credential storage instruments described above is accessed to retrieve credentials stored in the credential storage instrument. In block 953, it is determined whether the user is authorized to provide a digital wallet application for the mobile device with the retrieved credentials. This determination can be made according to any of the processes described above. If the user is determined to be unauthorized, at block 956, the process is terminated without the provision of the mobile device. If the user is determined to be authorized, then at block 954, a request is made to unlock the secure element (SE) of the mobile device. The SE can be unlocked with a security key or token provided by a TSM or by a kiosk with built-in TSM functionality. Once the SE of the mobile device is unlocked, a digital wallet application is provided for the mobile device by downloading the retrieved user credentials from the credential storage instrument on the SE. In some embodiments, the user credentials can be modified, increased (eg, with a CVV2), and / or encrypted before being stored in the SE of the mobile device. Method 950 can be repeated for multiple credential storage instruments. After the provisioning process, the mobile device SE is blocked to prevent unauthorized access.

Debería entenderse que el método (950) para proporcionar a una aplicación de cartera digital de un dispositivo móvil puede incluir operaciones adicionales que no se representan en la Figura 9D, o puede incluir menos operaciones en otros ejemplos. Adicionalmente, algunas de las operaciones pueden realizarse en un orden diferente al que se representa.It should be understood that the method (950) for providing a digital wallet application with a mobile device may include additional operations not shown in Figure 9D, or may include fewer operations in other examples. Additionally, some of the operations may be performed in a different order than that shown.

La Figura 10 muestra un diagrama de flujo en carriles que ilustra el flujo entre un dispositivo móvil (931), un quiosco (901), y un servidor accesible de forma remota tal como un emisor de credenciales de pago (935) o un TSM (933) de acuerdo con realizaciones.Figure 10 shows a lane flow diagram illustrating the flow between a mobile device (931), a kiosk (901), and a remotely accessible server such as a payment credential issuer (935) or a TSM ( 933) according to embodiments.

Un consumidor puede presentar (1001) su dispositivo de pago portátil o instrumento de almacenamiento de credenciales (por ejemplo, una tarjeta de pago) en el quiosco que puede extraer credenciales de pago del dispositivo de pago portátil. Por ejemplo, el consumidor puede insertar su tarjeta de pago en un quiosco y puede solicitarse una transacción de “transferencia de credenciales”. Puede avisarse al consumidor para su PIN de tarjeta de pago que puede introducirse en el quiosco a través de un teclado numérico. El consumidor también puede proporcionar (1002) un identificador, por ejemplo, el quiosco también puede avisar al consumidor para un “alias” que se usa como un identificador para el consumidor y su dispositivo móvil.A consumer may present (1001) their portable payment device or credential storage instrument (eg, a payment card) at the kiosk that can extract payment credentials from the portable payment device. For example, the consumer may insert their payment card into a kiosk and a "transfer of credentials" transaction may be requested. The consumer can be notified for their payment card PIN which can be entered at the kiosk through a numeric keypad. The consumer can also provide (1002) an identifier, for example, the kiosk can also alert the consumer to an "alias" that is used as an identifier for the consumer and their mobile device.

El quiosco puede conectarse (1003) al dispositivo móvil del consumidor como se ha descrito anteriormente para establecer (1004) una conexión. El quiosco puede usar el identificador proporcionado del consumidor para identificar el dispositivo móvil para conexión, por ejemplo, si esta es de una manera inalámbrica.The kiosk can connect (1003) to the consumer's mobile device as described above to establish (1004) a connection. The kiosk can use the provided consumer identifier to identify the mobile device for connection, for example, if the connection is wireless.

El quiosco puede enviar (1005) una petición de activación a un servidor accesible de forma remota proporcionado por un TSM para obtener autorización para almacenar las credenciales de pago en el elemento seguro asociado con el dispositivo móvil y también para desbloquear el elemento seguro. La petición de activación puede usar el identificador proporcionado por el consumidor que puede registrarse para el dispositivo móvil del consumidor y/o elemento seguro y el identificador puede usarse para identificar (1006) el dispositivo móvil y su elemento seguro. El TSM puede desbloquear (1007/1008) el elemento seguro asociado con el dispositivo móvil.The kiosk may send (1005) an activation request to a remotely accessible server provided by a TSM to obtain authorization to store the payment credentials in the secure item associated with the mobile device and also to unlock the secure item. The activation request can use the identifier provided by the consumer that can be registered for the consumer's mobile device and / or secure element and the identifier can be used to identify (1006) the mobile device and its secure element. The TSM can unlock (1007/1008) the secure item associated with the mobile device.

Las credenciales de pago pueden proporcionarse (1009/1010) al elemento seguro del dispositivo móvil usando la conexión al quiosco. Estos pueden proporcionarse de forma segura al elemento seguro.Payment credentials can be provided (1009/1010) to the secure element of the mobile device using the kiosk connection. These can be safely provided to the secure element.

Credenciales adicionales que no se almacenan en el dispositivo de pago portátil pueden necesitarse también que se almacenen en el elemento seguro para habilitar que el dispositivo móvil realice transacciones sin contacto. Por ejemplo, un valor de verificación de tarjeta dinámico (dCVV) puede requerirse para realizar transacciones de pago sin contacto efectuadas por el dispositivo móvil. En tales realizaciones, el quiosco puede enviar una solicitud de registro (1011) a un servidor accesible de forma remota de un sistema de emisor para obtener credenciales adicionales. El identificador puede incluirse en la petición y usarse por el servidor accesible de forma remota para identificar (1012) las credenciales adicionales correctas. Las credenciales adicionales pueden ser, en un ejemplo, software de dCVV que puede usarse por el dispositivo móvil para generar un dCVV cuando realiza transacciones de pago sin contacto. La solicitud de registro puede incluir el identificador proporcionado por el consumidor para obtener las credenciales adicionales correctas para el dispositivo de pago portátil del consumidor.Additional credentials that are not stored on the portable payment device may also be required to be stored on the secure item to enable the mobile device to perform contactless transactions. For example, a dynamic card verification value (dCVV) may be required to perform contactless payment transactions made by the mobile device. In such embodiments, the kiosk may send a registration request (1011) to a remotely accessible server in an issuer system to obtain additional credentials. The identifier can be included in the request and used by the remotely accessible server to identify (1012) the correct additional credentials. The additional credentials can be, in one example, dCVV software that can be used by the mobile device to generate a dCVV when it performs contactless payment transactions. The registration request may include the identifier provided by the consumer to obtain the correct additional credentials for the consumer's portable payment device.

Las credenciales adicionales (por ejemplo, software de dCVV) obtenido del sistema de emisor puede transmitirse (1013/1014) a y almacenarse en el elemento seguro asociado con el dispositivo móvil junto con credenciales de pago recuperado del quiosco durante el proceso de provisión de la cartera digital. Como alternativa, las credenciales adicionales pueden comunicarse directamente al elemento seguro del dispositivo móvil.Additional credentials (eg dCVV software) obtained from the issuer system can be transmitted (1013/1014) to and stored in the secure item associated with the mobile device along with payment credentials retrieved from the kiosk during the wallet provisioning process digital. Alternatively, additional credentials can be communicated directly to the secure element of the mobile device.

La Figura 11 ilustra un ejemplo de un dispositivo informático (1100) en el que pueden implementarse diversos aspectos de la divulgación. El dispositivo informático (1100) puede ser adecuado para almacenar y ejecutar código de programa informático. Los diversos participantes y elementos en los diagramas de sistema anteriormente descritos pueden usar cualquier número adecuado de subsistemas o componentes del dispositivo informático (1100) para facilitar las funciones descritas en este documento.Figure 11 illustrates an example of a computing device (1100) in which various aspects of the disclosure can be implemented. The computing device 1100 may be suitable for storing and executing computer program code. The various participants and elements in the system diagrams described above can use any suitable number of subsystems or components of the computing device (1100) to facilitate the functions described in this document.

El dispositivo informático (1100) puede incluir subsistemas o componentes interconectados a través de una infraestructura de comunicación (1105) (por ejemplo, un bus de comunicaciones, un dispositivo de barra cruzada o una red). El dispositivo informático (1100) puede incluir al menos un procesador central (1110) y al menos un componente de memoria en la forma de medio legible por ordenador.The computing device (1100) may include subsystems or components interconnected through a communication infrastructure (1105) (eg, a communication bus, a crossbar device, or a network). The computing device 1100 may include at least one central processor 1110 and at least one memory component in the form of a computer readable medium.

Los componentes de memoria pueden incluir la memoria de sistema (1115), que puede incluir memoria de sólo lectura (ROM) y memoria de acceso aleatorio (RAM). Un sistema básico de entrada/salida (BIOS) puede almacenarse en ROM. Software de sistema puede almacenarse en la memoria de sistema (1115) incluyendo software de sistema operativo.The memory components can include system memory (1115), which can include read-only memory (ROM) and random access memory (RAM). A basic input / output system (BIOS) can be stored in ROM. System software can be stored in system memory (1115) including operating system software.

Los componentes de memoria también pueden incluir la memoria secundaria (1120). La memoria secundaria (1120) puede incluir un disco fijo (1121), tal como una unidad de disco duro y, opcionalmente, una o más interfaces de almacenamiento extraíble (1122) para componentes de almacenamiento extraíble (1123).Memory components may also include secondary memory (1120). Secondary memory (1120) may include a fixed disk (1121), such as a hard disk drive, and optionally one or more removable storage interfaces (1122) for removable storage components (1123).

Las interfaces de almacenamiento extraíble (1122) pueden ser en forma de unidades de almacenamiento extraíbles (por ejemplo, unidades de cinta magnética, unidades de disco óptico, unidades de disco flexible, etc.) para correspondientes componentes de almacenamiento extraíble (por ejemplo, una cinta magnética, un disco óptico, un disco flexible, etc.), que puede escribirse o leerse por la unidad de almacenamiento extraíble.Removable storage interfaces (1122) can be in the form of removable storage drives (eg, magnetic tape drives, optical disc drives, floppy drives, etc.) for corresponding removable storage components (eg, a magnetic tape, an optical disc, a floppy disk, etc.), which can be written or read by the removable storage drive.

Las interfaces de almacenamiento extraíble (1122) también puede ser en forma de puertos o conexiones para interactuar con otras formas de componentes de almacenamiento extraíble (1123) tal como una unidad de memoria flash, disco duro externo o chip de memoria extraíble, etc.Removable storage interfaces (1122) can also be in the form of ports or connections to interact with other forms of removable storage components (1123) such as a flash memory drive, external hard drive, or removable memory chip, etc.

El dispositivo informático (1100) puede incluir una interfaz de comunicaciones externa (1130) para operación del dispositivo informático (1100) en un entorno en red habilitando transferencia de datos entre múltiples dispositivos informáticos (1100). Datos transferidos a través de la interfaz de comunicaciones externa (1130) puede ser en forma de señales, que pueden ser electrónicas, electromagnéticas, ópticas, radio u otros tipos de señal.The computing device (1100) may include an external communication interface (1130) for operating the computing device (1100) in a network environment enabling data transfer between multiple computing devices (1100). Data transferred through the external communication interface (1130) can be in the form of signals, which can be electronic, electromagnetic, optical, radio, or other types of signal.

La interfaz de comunicaciones externa (1130) puede habilitar comunicación de datos entre el dispositivo informático (1100) y otros dispositivos informáticos incluyendo servidores e instalaciones almacenamiento externas. Servicios web pueden ser accesibles por el dispositivo informático (1100) a través de la interfaz de comunicaciones (1130). La interfaz de comunicaciones externa (1130) también puede habilitar otras formas de comunicación a y desde el dispositivo informático (1100) incluyendo comunicación por voz, comunicación de campo cercano, Bluetooth, etc. El medio legible por ordenador en forma de los diversos componentes de memoria puede proporcionar almacenamiento de instrucciones ejecutables por ordenador, estructuras de datos, módulos de programa y otros datos. Puede proporcionarse un producto de programa informático por un medio legible por ordenador que ha almacenado código de programa legible por ordenador ejecutable por el procesador central (1110).The external communication interface (1130) can enable data communication between the computing device (1100) and other computing devices including servers and external storage facilities. Web services can be accessible by the computing device (1100) through the communications interface (1130). The external communication interface (1130) can also enable other forms of communication to and from the computing device (1100) including voice communication, near field communication, Bluetooth, etc. The computer readable medium in the form of the various memory components can provide storage of computer executable instructions, data structures, program modules, and other data. A computer program product may be provided by a computer-readable medium that has stored computer-readable program code executable by the central processor (1110).

Puede proporcionarse un producto de programa informático por un medio legible por ordenador no transitorio, o puede proporcionarse a través de una señal u otro medio transitorio a través de la interfaz de comunicaciones (1130).A computer program product may be provided by a non-transient computer readable medium, or it may be provided through a signal or other transient medium through the communication interface (1130).

Interconexión a través de la infraestructura de comunicación (1105) permite que un procesador central (1110) se comunique con cada subsistema o componente y controle la ejecución de instrucciones desde los componentes de memoria, así como el intercambio de información entre subsistemas o componentes.Interconnection through the communication infrastructure (1105) allows a central processor (1110) to communicate with each subsystem or component and control the execution of instructions from the memory components, as well as the exchange of information between subsystems or components.

Periféricos (tal como impresoras, escáneres, cámaras, o similar) y dispositivos de entrada/salida (I/O) (tal como un ratón, panel táctil, teclado, micrófono, palanca de mando o similar) pueden acoplarse al dispositivo informático (1100) o bien directamente o bien a través de un controlador de I/O (1135). Estos componentes pueden conectarse al dispositivo informático (1100) mediante cualquier número de medios conocidos en la técnica, tal como un puerto en serie. Peripherals (such as printers, scanners, cameras, or the like) and input / output (I / O) devices (such as a mouse, touchpad, keyboard, microphone, joystick, or the like) can be attached to the computing device (1100 ) either directly or through an I / O controller (1135). These components can be connected to the computing device (1100) by any number of means known in the art, such as a serial port.

Pueden acoplarse uno o más monitores (1145) a través de un adaptador de visualización o video (1140) al dispositivo informático (1100).One or more monitors (1145) can be attached through a display or video adapter (1140) to the computing device (1100).

La Figura 12 muestra un diagrama de bloques de un dispositivo de comunicación (1200) que puede usarse en las realizaciones de la divulgación. El dispositivo de comunicación (1200) puede ser un teléfono celular, un teléfono básico, un teléfono inteligente, un teléfono por satélite o un dispositivo informático que tiene capacidad telefónica. El dispositivo de comunicación (1200) puede incluir un procesador (1205) (por ejemplo, un microprocesador) para procesar las funciones del dispositivo de comunicación (1200) y un visualizador (1220) para permitir que un usuario vea los números de teléfono y otra información y mensajes. El dispositivo de comunicación (1200) puede incluir adicionalmente un elemento de entrada (1225) para permitir que un usuario introduzca información en el dispositivo (por ejemplo, botones entrada, pantalla táctil, etc.), un altavoz (1230) para permitir que el usuario escuche comunicación por voz, música, etc., y un micrófono (1235) para permitir que el usuario transmita su voz a través del dispositivo de comunicación (1200).Figure 12 shows a block diagram of a communication device (1200) that can be used in the embodiments of the disclosure. The communication device 1200 may be a cell phone, a basic phone, a smartphone, a satellite phone, or a computing device that has phone capability. The communication device 1200 may include a processor 1205 (eg, a microprocessor) to process the functions of the communication device 1200 and a display 1220 to allow a user to view phone numbers and other information and messages. The communication device (1200) may additionally include an input element (1225) to allow a user to enter information into the device (eg, input buttons, touch screen, etc.), a speaker (1230) to allow the User listens to voice communication, music, etc., and a microphone (1235) to allow the user to transmit their voice through the communication device (1200).

El procesador (1210) del dispositivo de comunicación (1200) puede conectarse a una memoria (1215). La memoria (1215) puede ser en forma de un medio legible por ordenador que almacena datos y, opcionalmente, instrucciones ejecutables por ordenador. La memoria (1215).The processor (1210) of the communication device (1200) can be connected to a memory (1215). Memory 1215 may be in the form of a computer-readable medium that stores data and, optionally, computer-executable instructions. Memory (1215).

El dispositivo de comunicación (1200) también puede incluir un elemento de comunicación (1240) para conexión a canales de comunicación (por ejemplo, una red de teléfono celular, red de transmisión de datos, red Wi-Fi, red de teléfono por satélite, red de Internet, red de Internet por satélite, etc.). El elemento de comunicación (1240) puede incluir un elemento de transferencia inalámbrica asociado, tal como una antena.The communication device 1200 may also include a communication element 1240 for connection to communication channels (eg, a cell phone network, data transmission network, Wi-Fi network, satellite phone network, Internet network, Internet satellite network, etc.). The communication element 1240 can include an associated wireless transfer element, such as an antenna.

El elemento de comunicación (1240) puede incluir un módulo de identidad de abonado (SIM) en forma de un circuito integrado que almacena una identidad de abonado de servicio móvil internacional y la clave relacionada usada para identificar y autenticar a un abonado que usa el dispositivo de comunicación (1200). Uno o más módulos de identidad de abonado pueden ser extraíbles del dispositivo de comunicación (1200) o embeberse en el dispositivo de comunicación (1200).The communication element 1240 may include a subscriber identity module (SIM) in the form of an integrated circuit that stores an international mobile service subscriber identity and the related key used to identify and authenticate a subscriber using the device. communication (1200). One or more subscriber identity modules may be removable from the communication device (1200) or embedded in the communication device (1200).

El dispositivo de comunicación (1200) puede incluir adicionalmente un elemento sin contacto (1250), que se implementa habitualmente en forma de un chip semiconductor (u otros elementos de almacenamiento de datos) con un elemento de transferencia inalámbrica asociado, tal como una antena. El elemento sin contacto (1250) puede asociarse con (por ejemplo, embeberse dentro de) el dispositivo de comunicación (1200) y datos o instrucciones de control transmitidas a través de una red celular pueden aplicarse al elemento sin contacto (1250) por medio de una interfaz de elemento sin contacto (no mostrado). La interfaz de elemento sin contacto puede funcionar para permitir el intercambio de datos y/o instrucciones de control entre dispositivo móvil circuitería (y, por lo tanto, la red celular) y el elemento sin contacto (1250).Communication device 1200 may additionally include a contactless element 1250, which is typically implemented in the form of a semiconductor chip (or other data storage elements) with an associated wireless transfer element, such as an antenna. The contactless element (1250) can be associated with (eg, embedded within) the communication device (1200) and data or control instructions transmitted over a cellular network can be applied to the contactless element (1250) by means of a contactless element interface (not shown). The contactless element interface can operate to allow the exchange of data and / or control instructions between mobile device circuitry (and therefore the cellular network) and the contactless element (1250).

El elemento sin contacto (1250) puede ser capaz de transferir y recibir datos usando una capacidad de comunicación de campo cercano (NFC) (o medio de comunicación de campo cercano) habitualmente de acuerdo con un protocolo normalizado o mecanismo de transferencia de datos (por ejemplo, ISO 14443/NFC). Capacidad de comunicación de campo cercano es una capacidad de comunicación de corto alcance, tal como identificación por frecuencia de radio (RFID), Bluetooth, infrarrojos u otra capacidad de transferencia de datos que puede usarse para intercambiar datos entre el dispositivo de comunicación (1200) y un dispositivo de interrogación. Por lo tanto, el dispositivo de comunicación (1200) puede ser capaz de comunicar y transferir datos y/o instrucciones de control a través tanto de una red celular como capacidad de comunicación de campo cercano.The contactless element (1250) may be capable of transferring and receiving data using a near field communication (NFC) capability (or near field communication medium) usually in accordance with a standard protocol or data transfer mechanism (eg example, ISO 14443 / NFC). Near-field communication capability is a short-range communication capability, such as radio frequency identification (RFID), Bluetooth, infrared, or other data transfer capability that can be used to exchange data between the communication device (1200) and an interrogation device. Therefore, the communication device (1200) may be capable of communicating and transferring data and / or control instructions through both a cellular network and near field communication capability.

Dispositivos de comunicación (1200) que soportan pago sin contactos móvil habitualmente soportan transacciones sin contacto usando el protocolo de comunicación sin contacto de EMV (EMV-CCP), que se basa en ISO 14443, para interactuar con dispositivos de acceso de comerciante. Esta capacidad se cumple habitualmente implementando NFC. La capacidad de NFC en el dispositivo de comunicación (1200) podría habilitarse por un chip NFC embebido o mediante la adición de una tarjeta o accesorio de memoria externa que contiene el chip NFC. Adicionalmente, el dispositivo de comunicación (1200) habitualmente incluye un elemento seguro (SE) (1260) o bien embebido en el microteléfono o bien en la tarjeta de módulo de identidad de abonado (SIM). El SE (1260) también puede incluirse en un dispositivo de adición tal como una micro tarjeta Segura Digital (SD), o un componente de expansión para añadir a un componente de comunicación del dispositivo de comunicación (1200).Communication devices (1200) supporting mobile contactless payment typically support contactless transactions using the EMV contactless communication protocol (EMV-CCP), which is based on ISO 14443, to interact with merchant access devices. This capability is typically accomplished by implementing NFC. The NFC capability in the communication device (1200) could be enabled by an embedded NFC chip or by adding an external memory card or accessory containing the NFC chip. Additionally, the communication device (1200) usually includes a secure element (SE) (1260) either embedded in the handset or in the subscriber identity module (SIM) card. The SE (1260) can also be included in an addition device such as a Secure Digital Micro (SD) card, or an expansion component to add to a communication component of the communication device (1200).

Los datos almacenados en la memoria (1215) pueden incluir: operación de datos relacionados con la operación del dispositivo de comunicación (1200), datos personales (por ejemplo, nombre, fecha de nacimiento, número de identificación, etc.), datos financieros (por ejemplo, información de cuenta bancaria, un número de identificación bancaria (BIN), información de número de tarjeta de crédito o débito, información de saldo de cuenta, fecha de expiración, números de cuenta de proveedores de fidelización, etc.), información de tránsito (por ejemplo, como en un billete de metro o tren), información de acceso (por ejemplo, en placas de acceso), etc. Un usuario puede transmitir estos datos desde el dispositivo de comunicación (1200) a receptores seleccionados. The data stored in the memory (1215) can include: operation of data related to the operation of the communication device (1200), personal data (for example, name, date of birth, identification number, etc.), financial data ( for example, bank account information, a bank identification number (BIN), credit or debit card number information, account balance information, expiration date, loyalty provider account numbers, etc.), information transit (for example, as in a metro or train ticket), access information (for example, on access plates), etc. A user can transmit this data from the communication device (1200) to selected receivers.

El dispositivo de comunicación (1200) puede ser, entre otras cosas, un dispositivo de notificación que puede recibir mensajes de alerta e informes de acceso, un dispositivo de comerciante portátil que puede usarse para transmitir datos de control que identifican un descuento a aplicar, así como un dispositivo de consumidor portátil que puede usarse para hacer pagos.The communication device 1200 can be, among other things, a notification device that can receive alert messages and access reports, a portable merchant device that can be used to transmit control data that identifies a discount to be applied, thus as a portable consumer device that can be used to make payments.

La descripción anterior de las realizaciones de la invención se ha presentado para el propósito de ilustración; no pretende ser exhaustiva o limitar la invención a las formas precisas divulgadas. Expertos en la materia pueden apreciar que son posibles muchas modificaciones y variaciones a la vista de la anterior divulgación.The foregoing description of the embodiments of the invention has been presented for the purpose of illustration; It is not intended to be exhaustive or to limit the invention to the precise forms disclosed. Those skilled in the art may appreciate that many modifications and variations are possible in light of the above disclosure.

Algunas porciones de esta descripción describen las realizaciones de la invención en términos de algoritmos y representaciones simbólicas de operaciones sobre información. Estas descripciones algorítmicas y representaciones se usan comúnmente por los expertos en las técnicas de procesamiento para transmitir la sustancia de su trabajo de forma efectiva a otros expertos en la materia. Estas operaciones, mientras se describen funcional, computacional o lógicamente, se entienden para implementarse mediante programas informáticos o circuitos eléctricos equivalentes, microcódigo o similar. Las operaciones descritas pueden incorporarse en software, firmware, hardware o cualquier combinación de los mismos.Portions of this description describe the embodiments of the invention in terms of algorithms and symbolic representations of operations on information. These algorithmic descriptions and representations are commonly used by experts in processing techniques to effectively convey the substance of their work to other experts in the field. These operations, while being described functionally, computationally or logically, are understood to be implemented by means of computer programs or equivalent electrical circuits, microcode or the like. The operations described can be incorporated into software, firmware, hardware, or any combination thereof.

Los componentes de software o funciones descritas en esta aplicación pueden implementarse como código de software a ejecutarse por uno o más procesadores usando cualquier lenguaje informático adecuado tal como, por ejemplo, Java, C++ o Perl usando, por ejemplo, técnicas convencionales u orientadas a objeto. El código de software puede almacenarse como una serie de instrucciones, u órdenes en un medio legible por ordenador no transitorio, tal como una memoria de acceso aleatorio (RAM), una memoria de sólo lectura (ROM), un medio magnético tal como un disco duro o un disco flexible, o un medio óptico tal como un CD-ROM. Cualquier medio legible por ordenador de este tipo también puede residir en o dentro de un único aparato de cálculo, y puede estar presente en o dentro de diferentes aparatos de cálculo dentro de un sistema o red.The software components or functions described in this application may be implemented as software code to be executed by one or more processors using any suitable computer language such as, for example, Java, C ++, or Perl using, for example, conventional or object-oriented techniques. . The software code can be stored as a series of instructions, or commands on a non-transient computer-readable medium, such as a random access memory (RAM), a read-only memory (ROM), a magnetic medium such as a disk hard or a floppy disk, or an optical medium such as a CD-ROM. Any such computer-readable medium may also reside on or within a single computing device, and may be present on or within different computing devices within a system or network.

Cualquiera de las etapas, operaciones o procesos descritos en este documento puede realizarse o implementarse con uno o más módulos de hardware o software, solo o en combinación con otros dispositivos. En una realización, un módulo de software se implementa con un producto de programa informático que comprende un medio legible por ordenador no transitorio que contiene código de programa informático, que puede ejecutarse por un procesador informático para realizar cualquiera o todas las etapas, operaciones o procesos descritos. Any of the steps, operations, or processes described in this document can be performed or implemented with one or more hardware or software modules, alone or in combination with other devices. In one embodiment, a software module is implemented with a computer program product comprising a non-transient computer readable medium containing computer program code, which may be executed by a computer processor to perform any or all of the steps, operations, or processes. described.

Claims (13)

REIVINDICACIONES 1. Un método para proporcionar a una aplicación de cartera digital en un dispositivo móvil (112, 212, 316, 931) con credenciales de pago que la aplicación de cartera digital carecía antes de la provisión, siendo las credenciales de pago usables por el dispositivo móvil (112, 212, 316, 931) en la realización de un pago sin contacto, realizándose el método en un sistema de provisión (140, 240, 340, 901) y comprendiendo las etapas de:1. A method of providing a digital wallet application on a mobile device (112, 212, 316, 931) with payment credentials that the digital wallet application lacked prior to provisioning, the payment credentials being usable by the device mobile (112, 212, 316, 931) in carrying out a contactless payment, the method being performed in a provisioning system (140, 240, 340, 901) and comprising the steps of: recepción (402, 422, 704) de credenciales de pago desde un punto de venta o dispositivo de ATM (120, 222, 320, 920) en un mensaje de transacción financiera, habiéndose obtenido las credenciales de pago por el punto de venta o dispositivo de ATM (120, 222, 320, 920) desde un dispositivo de pago portátil (114, 214, 314, 905) a través de una interfaz de comunicaciones con o sin contacto del punto de venta o dispositivo de ATM (120, 222, 320, 920) presentándose el dispositivo de pago portátil (114, 214, 314, 905) por un consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920);receipt (402, 422, 704) of payment credentials from a point of sale or ATM device (120, 222, 320, 920) in a financial transaction message, the payment credentials having been obtained by the point of sale or device from ATM (120, 222, 320, 920) from a portable payment device (114, 214, 314, 905) through a communication interface with or without contact of the point of sale or ATM device (120, 222, 320, 920) the portable payment device (114, 214, 314, 905) being presented by a consumer at the point of sale or ATM device (120, 222, 320, 920); recepción (404, 424, 704), desde el punto de venta o dispositivo de ATM (120, 222, 320, 920), de un identificador introducido por el consumidor en el mensaje de transacción financiera;reception (404, 424, 704), from the point of sale or ATM device (120, 222, 320, 920), of an identifier entered by the consumer in the financial transaction message; identificación (406, 430, 705) de un dispositivo móvil (112, 212, 316, 931) o un elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931) que corresponde al identificador; yidentification (406, 430, 705) of a mobile device (112, 212, 316, 931) or a secure element (113) in the mobile device (112, 212, 316, 931) that corresponds to the identifier; Y comunicación (410, 432, 707) de las credenciales de pago al dispositivo móvil identificado (112, 212, 316, 931) o el elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931), provocando que las credenciales de pago se almacenen de forma segura en el elemento seguro (113) del dispositivo móvil (112, 212, 316, 931), siendo el elemento seguro (113) uno del grupo de: un elemento seguro (113) proporcionado en el dispositivo móvil (112, 212, 316, 931), un elemento seguro (113) embebido en una capa (318) que se sitúa entre un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931) y una interfaz de componente de comunicación del dispositivo móvil (112, 212, 316, 931), y un elemento seguro (113) proporcionado en un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931).communication (410, 432, 707) of the payment credentials to the identified mobile device (112, 212, 316, 931) or the secure element (113) on the mobile device (112, 212, 316, 931), causing the Payment credentials are securely stored in the secure element (113) of the mobile device (112, 212, 316, 931), the secure element (113) being one of the group of: a secure element (113) provided in the device (112, 212, 316, 931), a secure element (113) embedded in a layer (318) that is located between a communication component (317) of the mobile device (112, 212, 316, 931) and an interface mobile device communication component (112, 212, 316, 931), and a secure element (113) provided in a mobile device communication component (317) (112, 212, 316, 931). 2. El método de acuerdo con la reivindicación 1, que incluye:2. The method according to claim 1, which includes: solicitar (408) autorización desde un gestor de servicios confiable para acceder al elemento seguro (113); y recibir una clave de seguridad para acceder al elemento seguro (113).request (408) authorization from a reliable service manager to access the secure element (113); and receive a security key to access the secure element (113). 3. El método según se reivindica en una cualquiera de las reivindicaciones anteriores, que incluye:3. The method as claimed in any one of the preceding claims, including: comunicar (412) credenciales adicionales al dispositivo móvil identificado (112, 212, 316, 931) o el elemento seguro (113) a almacenar de forma segura en asociación con el dispositivo móvil (112, 212, 316, 931), en el que las credenciales adicionales se requieren en uso además de las credenciales de pago que efectúan una transacción.communicating (412) additional credentials to the identified mobile device (112, 212, 316, 931) or secure element (113) to be stored securely in association with the mobile device (112, 212, 316, 931), where additional credentials are required in use in addition to the payment credentials that effect a transaction. 4. El método de acuerdo con la reivindicación 3, que incluye:4. The method according to claim 3, which includes: obtener las credenciales adicionales de un servidor accesible de forma remota (140, 240, 340,) usando el identificador y reenviar las credenciales adicionales al dispositivo móvil (112, 212, 316, 931).obtain additional credentials from a remotely accessible server (140, 240, 340,) using the identifier and forward the additional credentials to the mobile device (112, 212, 316, 931). 5. El método de acuerdo con la reivindicación 3 o la reivindicación 4, en el que las credenciales adicionales son en forma de un algoritmo de verificación dinámico para generar valores de verificación dinámicos.5. The method according to claim 3 or claim 4, wherein the additional credentials are in the form of a dynamic verification algorithm to generate dynamic verification values. 6. El método según se reivindica en una cualquiera de las reivindicaciones anteriores, en el que el método se repite para múltiples credenciales de pago a almacenar de forma segura en asociación con un único dispositivo móvil. 6. The method as claimed in any one of the preceding claims, wherein the method is repeated for multiple payment credentials to be stored securely in association with a single mobile device. 7. El método según se reivindica en una cualquiera de las reivindicaciones anteriores, en el que el método se usa para transferir credenciales de pago a un segundo dispositivo móvil desde su almacenamiento seguro existente en un primer dispositivo móvil, en el que el dispositivo de pago portátil es el primer dispositivo móvil.The method as claimed in any one of the preceding claims, wherein the method is used to transfer payment credentials to a second mobile device from its existing secure storage on a first mobile device, wherein the payment device portable is the first mobile device. 8. Un método para proporcionar a una aplicación de cartera digital en un dispositivo móvil (112, 212, 316, 931) con credenciales de pago que la aplicación de cartera digital carecía antes de la provisión, siendo las credenciales de pago usables por el dispositivo móvil (112, 212, 316, 931) en la realización de un pago sin contacto, realizándose el método en un punto de venta o dispositivo de ATM (120, 222, 320, 920) y comprendiendo las etapas de: obtención (502), por el punto de venta o dispositivo de ATM (120, 222, 320, 920), de credenciales de pago desde un dispositivo de pago portátil (114, 214, 314, 905) a través de una interfaz de comunicaciones con o sin contacto del punto de venta o dispositivo de ATM (120, 222, 320, 920) presentándose el dispositivo de pago portátil (114, 214, 314, 905) por un consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920); recepción (504), por el punto de venta o dispositivo de ATM (120, 222, 320, 920), de un identificador introducido por el consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920); y8. A method of providing a digital wallet application on a mobile device (112, 212, 316, 931) with payment credentials that the digital wallet application lacked prior to provisioning, the payment credentials being usable by the device mobile (112, 212, 316, 931) in making a contactless payment, the method being performed at a point of sale or ATM device (120, 222, 320, 920) and comprising the steps of: obtaining (502) , by the point of sale or ATM device (120, 222, 320, 920), of payment credentials from a portable payment device (114, 214, 314, 905) through a communication interface with or without contact from the point of sale or ATM device (120, 222, 320, 920) presenting the portable payment device (114, 214, 314, 905) by a consumer at the point of sale or ATM device (120, 222, 320 , 920); reception (504), by the point of sale or ATM device (120, 222, 320, 920), of an identifier entered by the consumer at the point of sale or ATM device (120, 222, 320, 920); Y comunicación (506), por el punto de venta o dispositivo de ATM (120, 222, 320, 920), de las credenciales de pago e identificador en un mensaje de transacción financiera a un sistema de provisión (140, 240, 340, 901) para comunicación adicional de las credenciales de pago al dispositivo móvil (112, 212, 316, 931) o un elemento seguro (113) del dispositivo móvil, provocando que las credenciales de pago se almacenen de forma segura en el elemento seguro (113), siendo el elemento seguro (113) uno del grupo de: un elemento seguro (113) proporcionado en el dispositivo móvil (112, 212, 316, 931), un elemento seguro (113) embebido en una capa (318) que se sitúa entre un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931) y una interfaz de componente de comunicación del dispositivo móvil (112, 212, 316, 931), y un elemento seguro (113) proporcionado en un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931).communication (506), by the point of sale or ATM device (120, 222, 320, 920), of the payment credentials and identifier in a financial transaction message to a provisioning system (140, 240, 340, 901 ) for Additional communication of the payment credentials to the mobile device (112, 212, 316, 931) or a secure element (113) of the mobile device, causing the payment credentials to be stored securely in the secure element (113), being the secure element (113) one of the group of: a secure element (113) provided in the mobile device (112, 212, 316, 931), a secure element (113) embedded in a layer (318) that lies between a communication component (317) of the mobile device (112, 212, 316, 931) and a communication component interface of the mobile device (112, 212, 316, 931), and a secure element (113) provided in a component of communication (317) of the mobile device (112, 212, 316, 931). 9. Un método para proporcionar a una aplicación de cartera digital en un dispositivo móvil (112, 212, 316, 931) con credenciales de pago que la aplicación de cartera digital carecía antes de la provisión, siendo las credenciales de pago usables por el dispositivo móvil (112, 212, 316, 931) en la realización de un pago sin contacto, realizándose el método en un punto de venta o dispositivo de ATM (120, 222, 320, 920) y comprendiendo las etapas de: 9. A method of providing a digital wallet application on a mobile device (112, 212, 316, 931) with payment credentials that the digital wallet application lacked prior to provision, the payment credentials being usable by the device mobile (112, 212, 316, 931) in making a contactless payment, the method being performed at a point of sale or ATM device (120, 222, 320, 920) and comprising the steps of: obtención, por el punto de venta o dispositivo de ATM (120, 222, 320, 920), de credenciales de pago desde un dispositivo de pago portátil (114, 214, 314, 905) a través de interfaz de comunicaciones con o sin contacto del punto de venta o dispositivo de ATM (120, 222, 320, 920) presentándose (1001) el dispositivo de pago portátil (114, 214, 314, 905) por un consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920); recepción, por el punto de venta o dispositivo de ATM (120, 222, 320, 920), de un identificador introducido (1002) por el consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920); yobtaining, by the point of sale or ATM device (120, 222, 320, 920), of payment credentials from a portable payment device (114, 214, 314, 905) through communication interface with or without contact of the point of sale or ATM device (120, 222, 320, 920) presenting (1001) the portable payment device (114, 214, 314, 905) by a consumer at the point of sale or ATM device (120, 222, 320, 920); reception, by the point of sale or ATM device (120, 222, 320, 920), of an identifier entered (1002) by the consumer at the point of sale or ATM device (120, 222, 320, 920); Y comunicación (1005), por el punto de venta o dispositivo de ATM (120, 222, 320, 920), del identificador con una petición de activación a un gestor de servicios confiable (933, 935) para desbloquear (1008) un elemento seguro (113) en el dispositivo móvil (112, 212, 316) identificado por el identificador,communication (1005), by the point of sale or ATM device (120, 222, 320, 920), of the identifier with an activation request to a reliable service manager (933, 935) to unlock (1008) a secure element (113) on the mobile device (112, 212, 316) identified by the identifier, comunicación (1009, 1010), por el punto de venta o dispositivo de ATM (120, 222, 320, 920) de las credenciales de pago al dispositivo móvil (112, 212, 316, 931) o el elemento seguro desbloqueado (113) del dispositivo móvil, provocando que las credenciales de pago se almacenen de forma segura en el elemento seguro desbloqueado (113), siendo el elemento seguro (113) uno del grupo de: un elemento seguro (113) proporcionado en el dispositivo móvil (112, 212, 316, 931), un elemento seguro (113) embebido en una capa (318) que se sitúa entre un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931) y una interfaz de componente de comunicación del dispositivo móvil (112, 212, 316, 931), y un elemento seguro (113) proporcionado en un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931).communication (1009, 1010), by the point of sale or ATM device (120, 222, 320, 920) of the payment credentials to the mobile device (112, 212, 316, 931) or the unlocked secure element (113) of the mobile device, causing the payment credentials to be stored securely in the unlocked secure element (113), the secure element (113) being one of the group of: a secure element (113) provided in the mobile device (112, 212, 316, 931), a secure element (113) embedded in a layer (318) that is located between a communication component (317) of the mobile device (112, 212, 316, 931) and a communication component interface of the mobile device (112, 212, 316, 931), and a secure element (113) provided in a communication component (317) of the mobile device (112, 212, 316, 931). 10. Un sistema (100, 200, 300) para proporcionar a una aplicación de cartera digital en un dispositivo móvil (112, 212, 316, 931) con credenciales de pago que la aplicación de cartera digital carecía antes de la provisión, siendo las credenciales de pago usables por el dispositivo móvil (112, 212, 316, 931) en la realización de un pago sin contacto, incluyendo un sistema de provisión (140, 240, 340, 901) que comprende:10. A system (100, 200, 300) to provide a digital wallet application on a mobile device (112, 212, 316, 931) with payment credentials that the digital wallet application lacked prior to provision, the payment credentials usable by the mobile device (112, 212, 316, 931) in making a contactless payment, including a provisioning system (140, 240, 340, 901) comprising: un receptor de credenciales de pago (602) para recibir credenciales de pago desde un punto de venta o dispositivo de ATM (120, 222, 320, 920) en un mensaje de transacción financiera, habiéndose obtenido las credenciales de pago por el punto de venta o dispositivo de ATM (120, 222, 320, 920) desde un dispositivo de pago portátil (114, 214, 314, 905) a través de una interfaz de comunicaciones con o sin contacto del punto de venta o dispositivo de ATM (120, 222, 320, 920) presentándose el dispositivo de pago portátil (114, 214, 314, 905) por un consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920);a payment credential receiver (602) for receiving payment credentials from a point of sale or ATM device (120, 222, 320, 920) in a financial transaction message, the payment credentials having been obtained by the point of sale or ATM device (120, 222, 320, 920) from a portable payment device (114, 214, 314, 905) through a communication interface with or without contact of the point of sale or ATM device (120, 222, 320, 920) the portable payment device (114, 214, 314, 905) being presented by a consumer at the point of sale or ATM device (120, 222, 320, 920); un receptor de identificador (604) para recibir, desde el punto de venta o dispositivo de ATM (120, 222, 320, 920), un identificador introducido por el consumidor en el mensaje de transacción financiera;an identifier receiver (604) for receiving, from the point of sale or ATM device (120, 222, 320, 920), an identifier entered by the consumer in the financial transaction message; un componente de identificación (610) para identificar un dispositivo móvil (112, 212, 316, 931) o un elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931) que corresponde al identificador; yan identification component (610) for identifying a mobile device (112, 212, 316, 931) or a secure element (113) in the mobile device (112, 212, 316, 931) that corresponds to the identifier; Y un módulo de comunicación (612) para comunicar las credenciales de pago al dispositivo móvil identificado (112, 212, 316, 931) o el elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931) a almacenar de forma segura en el elemento seguro (113) del dispositivo móvil (112, 212, 316, 931), siendo el elemento seguro (113) uno del grupo de: un elemento seguro (113) proporcionado en el dispositivo móvil (112, 212, 316, 931), un elemento seguro (113) embebido en una capa (318) que se sitúa entre un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931) y una interfaz de componente de comunicación del dispositivo móvil (112, 212, 316, 931), y elemento seguro (113) proporcionado en un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931).a communication module (612) to communicate the payment credentials to the identified mobile device (112, 212, 316, 931) or the secure element (113) in the mobile device (112, 212, 316, 931) to be stored in a way secure in the secure element (113) of the mobile device (112, 212, 316, 931), the secure element (113) being one of the group of: a secure element (113) provided in the mobile device (112, 212, 316 , 931), a secure element (113) embedded in a layer (318) that is located between a communication component (317) of the mobile device (112, 212, 316, 931) and a communication component interface of the mobile device (112, 212, 316, 931), and secure element (113) provided in a communication component (317) of the mobile device (112, 212, 316, 931). 11. El sistema de acuerdo con la reivindicación 10, en el que el sistema incluye:11. The system according to claim 10, wherein the system includes: el punto de venta o dispositivo de ATM (120, 222, 320, 920) que comprende:the point of sale or ATM device (120, 222, 320, 920) comprising: un componente de obtención de credenciales de pago (652) para obtener credenciales de pago desde el dispositivo de pago portátil (114, 214, 314, 905) a través de una interfaz de comunicaciones con o sin contacto presentándose el dispositivo de pago portátil (114, 214, 314, 905) por el consumidor en el punto de venta o dispositivo de ATM;a component for obtaining payment credentials (652) to obtain payment credentials from the portable payment device (114, 214, 314, 905) through a communication interface with or without contact presenting the portable payment device (114 , 214, 314, 905) by the consumer at the point of sale or ATM device; un receptor de identificador (654) para recibir el identificador introducido por el consumidor en el punto de venta o dispositivo de ATM;an identifier receiver (654) for receiving the identifier entered by the consumer at the point of sale or ATM device; un módulo de comunicación (656) para comunicar las credenciales de pago e identificador al sistema de provisión (140, 240, 340, 901) para comunicación adicional de las credenciales de pago al dispositivo móvil (112, 212, 316, 931) a almacenar de forma segura en el elemento seguro (113) del dispositivo móvil (112, 212, 316, 931).a communication module (656) to communicate the payment credentials and identifier to the provisioning system (140, 240, 340, 901) for additional communication of the payment credentials to the mobile device (112, 212, 316, 931) to be safely stored in the secure element (113) of the mobile device (112, 212, 316, 931). 12. Un producto de programa informático para proporcionar a una aplicación de cartera digital en un dispositivo móvil (112, 212, 316, 931) con credenciales de pago que la aplicación de cartera digital carecía antes de la provisión, siendo las credenciales de pago usables por el dispositivo móvil (112, 212, 316, 931) en la realización de un pago sin contacto, comprendiendo el producto de programa informático un medio legible por ordenador que ha almacenado código de programa legible por ordenador para realizar las etapas de:12. A computer program product to provide a digital wallet application on a mobile device (112, 212, 316, 931) with payment credentials that the digital wallet application lacked prior to provision, with the payment credentials being usable by the mobile device (112, 212, 316, 931) in making a contactless payment, the computer program product comprising a computer readable medium that has stored computer readable program code to perform the steps of: recepción (402, 422, 704) de credenciales de pago desde un punto de venta o dispositivo de ATM (120, 222, 320, 920) en un mensaje de transacción financiera, habiéndose obtenido las credenciales de pago por el punto de venta o dispositivo de ATM (120, 222, 320, 920) desde un dispositivo de pago portátil (114, 214, 314, 905) a través de una interfaz de comunicaciones con o sin contacto del punto de venta o dispositivo de ATM (120, 222, 320, 920) presentándose el dispositivo de pago portátil (114, 214, 314, 905) por un consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920);receipt (402, 422, 704) of payment credentials from a point of sale or ATM device (120, 222, 320, 920) in a financial transaction message, the payment credentials having been obtained by the point of sale or device from ATM (120, 222, 320, 920) from a portable payment device (114, 214, 314, 905) through a communication interface with or without contact of the point of sale or ATM device (120, 222, 320, 920) the portable payment device (114, 214, 314, 905) being presented by a consumer at the point of sale or ATM device (120, 222, 320, 920); recepción (404, 424, 704), desde el punto de venta o dispositivo de ATM (120, 222, 320, 920) en el mensaje de transacción financiera, de un identificador introducido por el consumidor;reception (404, 424, 704), from the point of sale or ATM device (120, 222, 320, 920) in the financial transaction message, of an identifier entered by the consumer; identificación (406, 430, 705) de un dispositivo móvil (112, 212, 316, 931) o un elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931) que corresponde al identificador; yidentification (406, 430, 705) of a mobile device (112, 212, 316, 931) or a secure element (113) in the mobile device (112, 212, 316, 931) that corresponds to the identifier; Y comunicar (410, 432, 707) las credenciales de pago al dispositivo móvil identificado (112, 212, 316, 931) o el elemento seguro (113) en el dispositivo móvil (112, 212, 316, 931), provocando que las credenciales de pago se almacenen de forma segura en el elemento seguro (113) del dispositivo móvil (112, 212, 316, 931), siendo el elemento seguro (113) uno del grupo de: un elemento seguro (113) proporcionado en el dispositivo móvil (112, 212, 316, 931), un elemento seguro (113) embebido en una capa (318) que se sitúa entre un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931) y una interfaz de componente de comunicación del dispositivo móvil (112, 212, 316, 931), y un elemento seguro (113) proporcionado en un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931).communicate (410, 432, 707) the payment credentials to the identified mobile device (112, 212, 316, 931) or the secure element (113) on the mobile device (112, 212, 316, 931), causing the credentials are stored securely in the secure element (113) of the mobile device (112, 212, 316, 931), the secure element (113) being one of the group of: a secure element (113) provided in the mobile device (112, 212, 316, 931), a secure element (113) embedded in a layer (318) that is located between a communication component (317) of the mobile device (112, 212, 316, 931) and an interface of communication component of the mobile device (112, 212, 316, 931), and a secure element (113) provided in a communication component (317) of the mobile device (112, 212, 316, 931). 13. Un producto de programa informático para proporcionar a una aplicación de cartera digital en un dispositivo móvil (112, 212, 316, 931) con credenciales de pago que la aplicación de cartera digital carecía antes de la provisión, siendo las credenciales de pago usables por el dispositivo móvil (112, 212, 316, 931) en la realización de un pago sin contacto, comprendiendo el producto de programa informático un medio legible por ordenador que ha almacenado código de programa legible por ordenador para realizar las etapas de:13. A computer program product to provide a digital wallet application on a mobile device (112, 212, 316, 931) with payment credentials that the digital wallet application lacked prior to provision, the payment credentials being usable by the mobile device (112, 212, 316, 931) in making a contactless payment, the computer program product comprising a computer readable medium that has stored computer readable program code to perform the steps of: obtención, por un punto de venta o dispositivo de ATM (120, 222, 320, 920), credenciales de pago desde un dispositivo de pago portátil (114, 214, 314, 905) a través de interfaz de comunicaciones con o sin contacto del punto de venta o dispositivo de ATM (120, 222, 320, 920) presentándose (1001) el dispositivo de pago portátil (114, 214, 314, 905) por un consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920); recepción, por el punto de venta o dispositivo de ATM (120, 222, 320, 920), de un identificador introducido (1002) por el consumidor en el punto de venta o dispositivo de ATM (120, 222, 320, 920); yobtaining, by a point of sale or ATM device (120, 222, 320, 920), payment credentials from a portable payment device (114, 214, 314, 905) through the contact or contactless communications interface of the point of sale or ATM device (120, 222, 320, 920) presenting (1001) the portable payment device (114, 214, 314, 905) by a consumer at the point of sale or ATM device (120, 222 , 320, 920); reception, by the point of sale or ATM device (120, 222, 320, 920), of an identifier entered (1002) by the consumer at the point of sale or ATM device (120, 222, 320, 920); Y comunicación (1005), por el punto de venta o dispositivo de ATM (120, 222, 320, 920), del identificador con una petición de activación a un gestor de servicios confiable (933, 935) para desbloquear (1008) un elemento seguro (113) en el dispositivo móvil (112, 212, 316) identificado por el identificador,communication (1005), by the point of sale or ATM device (120, 222, 320, 920), of the identifier with an activation request to a reliable service manager (933, 935) to unlock (1008) a secure element (113) on the mobile device (112, 212, 316) identified by the identifier, comunicación (1009, 1010), por el punto de venta o dispositivo de ATM (120, 222, 320, 920) de las credenciales de pago al dispositivo móvil (112, 212, 316, 931) o el elemento seguro desbloqueado (113), provocando que las credenciales de pago se almacenen de forma segura en el elemento seguro desbloqueado (113) del dispositivo móvil, siendo el elemento seguro (113) uno del grupo de: un elemento seguro (113) proporcionado en el dispositivo móvil (112, 212, 316, 931), un elemento seguro (113) embebido en una capa (318) que se sitúa entre un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931) y una interfaz de componente de comunicación del dispositivo móvil (112, 212, 316, 931), y un elemento seguro (113) proporcionado en un componente de comunicación (317) del dispositivo móvil (112, 212, 316, 931). communication (1009, 1010), by the point of sale or ATM device (120, 222, 320, 920) of the payment credentials to the mobile device (112, 212, 316, 931) or the unlocked secure element (113) , causing payment credentials to be securely stored in the unlocked secure element (113) of the mobile device, the secure element (113) being one of the group of: a secure element (113) provided on the mobile device (112, 212, 316, 931), a secure element (113) embedded in a layer (318) that is located between a communication component (317) of the mobile device (112, 212, 316, 931) and a communication component interface of the mobile device (112, 212, 316, 931), and a secure element (113) provided in a communication component (317) of the mobile device (112, 212, 316, 931).
ES14797103T 2013-05-15 2014-05-15 Methods and systems to provide payment credentials Active ES2749625T3 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201361823840P 2013-05-15 2013-05-15
ZA201303719 2013-05-22
ZA201306249 2013-08-20
PCT/IB2014/061471 WO2014184771A1 (en) 2013-05-15 2014-05-15 Methods and systems for provisioning payment credentials

Publications (1)

Publication Number Publication Date
ES2749625T3 true ES2749625T3 (en) 2020-03-23

Family

ID=67107258

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14797103T Active ES2749625T3 (en) 2013-05-15 2014-05-15 Methods and systems to provide payment credentials

Country Status (2)

Country Link
ES (1) ES2749625T3 (en)
ZA (1) ZA201508290B (en)

Also Published As

Publication number Publication date
ZA201508290B (en) 2019-03-27

Similar Documents

Publication Publication Date Title
US20190122212A1 (en) Methods and systems for provisioning payment credentials
AU2014246709B2 (en) Systems, methods and devices for transacting
AU2010357028B2 (en) System for secure payment over a wireless communication network
US20160132878A1 (en) Payment Card Including User Interface for Use with Payment Card Acceptance Terminal
US20090307140A1 (en) Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
US20150227932A1 (en) Issuing and storing of payment credentials
ES2741402T3 (en) Secure cardholder authentication, built into the device, which makes use of biometric data
US20170024729A1 (en) Secure Transmission of Payment Credentials
ES2749625T3 (en) Methods and systems to provide payment credentials
KR20150004260A (en) Method, Apparatus and System for using an IC card as authentication medium
CA2919323C (en) System and method for generating payment credentials
WO2019020100A1 (en) Modular electronic funds transfer point of sale device
US20230368190A1 (en) Virtual terminal
CN117999553A (en) Multiple interaction processing