WO2003007250A1 - Method for authorising an electronic payment operation by smart card - Google Patents

Method for authorising an electronic payment operation by smart card Download PDF

Info

Publication number
WO2003007250A1
WO2003007250A1 PCT/FR2002/002410 FR0202410W WO03007250A1 WO 2003007250 A1 WO2003007250 A1 WO 2003007250A1 FR 0202410 W FR0202410 W FR 0202410W WO 03007250 A1 WO03007250 A1 WO 03007250A1
Authority
WO
WIPO (PCT)
Prior art keywords
smart card
payment
code
list
issuer
Prior art date
Application number
PCT/FR2002/002410
Other languages
French (fr)
Inventor
Jean-Patrice Ubertini
Anne-Hélène Epouse UBERTINI LE CORNEC
Hervé LE CORNEC
Original Assignee
Blandin, Bruno
CLERC, Marie, Elisabeth, Epouse BLANDIN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Blandin, Bruno, CLERC, Marie, Elisabeth, Epouse BLANDIN filed Critical Blandin, Bruno
Publication of WO2003007250A1 publication Critical patent/WO2003007250A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • G07F7/088Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
    • G07F7/0886Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction

Definitions

  • the present invention relates to a method for authorizing an electronic payment transaction by smart card. This method is intended to protect the holder of the smart card against the risks associated with the loss or theft of the smart card and / or hacking of the data transferred during an electronic payment transaction.
  • the invention proceeds from research carried out in relation to electronic payments by smart card with a view to securing them.
  • the invention relates to a method for authorizing an electronic payment transaction by chip card, a confidential code being associated with said chip card to read the information contained in the chip, which method comprises the following steps: a) preparation of '' an ordered list of different payment codes by the issuer of said smart card, each payment code can only be used for a single electronic payment transaction, b) recording of said ordered list in the computer system of the issuer of the smart card and in a memory area of a reader of said smart card held by the holder of the smart card, c) before an operation of electronic payment, insertion of said smart card in said smart card reader 'and composition of the confidential code for displaying the first payment code to the list stored in the drive, wherein the first payment code is removed from the list, d) during the electronic payment transaction, supply of said payment code obtained in step c) in addition to the information making it possible to identify the holder of the smart card, e) transmission of said payment code and said identification information of the holder of the smart card to the issuer of the smart card for verification, and
  • the electronic payment transaction is authorized if the payment code transmitted corresponds to one of the first N payment codes from the list recorded in the computer system of the smart card issuer, the payment code. then being removed from said list.
  • N denotes here a natural integer greater than or equal to 2.
  • the card reader also registers in the smart card during step c) the payment code obtained.
  • the electronic payment terminal verifies, before transmission of the payment code, that it corresponds to the payment code composed by the holder of the smart card on the terminal of. electronic payment. If these two codes are not identical, the payment transaction is interrupted.
  • the invention also relates to a smart card reader for the implementation of steps b) and c) of the method of the invention.
  • This smart card reader includes:
  • the method comprises a first step, referenced 100, consisting in developing an ordered list of different payment codes.
  • This list is drawn up, for example at random, by the issuer of the smart card which is traditionally a bank.
  • Each payment code in the list can only be used for one payment transaction.
  • These payment codes are intended to be used in the order of the list.
  • This list is of course confidential and is known only to the issuer of the smart card.
  • the list of payment codes is stored in the computer system of the issuer of the smart card and in a smart card reader held by the holder of the smart card.
  • the chip card reader is for example in the form of a box comprising a slot for the insertion of the chip card, a keyboard comprising numeric or alphanumeric keys and function keys, a microprocessor for reading data contained in the smart card and save it to a microprocessor memory, and a liquid crystal display screen to display information.
  • the recording of the list of payment codes in the cardholder's card reader is for example carried out in two stages: a first stage (step 110) during which the list is recorded in the chip card and a second stage (stage 120 ) during which the list stored in the smart card is transferred and stored in the card reader.
  • Step 110 can be operated by means of an automatic cash dispenser in connection with the computer system of the card issuer or directly by the chip card issuer.
  • the card reader is for example provided with a specific ENR function key.
  • the list of payment codes is transferred to a memory of the smart card reader.
  • this transfer operation of the list may require the entry of the confidential code of the smart card and is preferably carried out out of prying eyes by the holder of the card, for example at his home.
  • the bearer Before an electronic payment transaction, for example at a merchant or on a mail order site, the bearer inserts his smart card into the card reader and dials his confidential code on the keyboard to appear on the screen. display of the reader the first payment code from the list stored in the card reader (step 130). As before, the wearer can perform this operation out of sight indiscreet, for example at home or in his car. The payment code obtained is then valid for only one payment transaction and is then automatically deleted from the list after display.
  • the holder To then carry out a payment transaction with a merchant, the holder inserts his smart card into the merchant's electronic payment terminal and dials the payment code displayed by the card reader on the keyboard of the payment terminal (step
  • the holder communicates his name, his 16-digit card number, the validity date of his card and the payment code obtained in step 130.
  • This information namely the payment code, the card number , the name of the holder and the date of validity of the card are then transmitted to the issuer of the smart card (step 150).
  • the smart card issuer verifies that the transmitted payment code corresponds to a code from the list recorded in its computer system and authorizes the payment operation if this is the case (step 160).
  • the issuer of the smart card verifies that the payment code transmitted corresponds to one of the N first payment codes from the list of payment codes recorded in its computer system, N being for example an equal natural number to 3 or 4, in order to increase the level of security of the payment transaction.
  • the payment code cannot be reused by a "hacker” or a possible fraudster because it can only be used for a single payment transaction. After verification, this payment code is indeed deleted from the list of payment codes recorded in the computer system of the issuer of the smart card. However, provision can be made to keep this payment code in a list of codes containing the payment codes already used. This list may be consulted by the issuer of the smart card in the event of a dispute.
  • step 140 provision is made to carry out an additional verification in the case of an electronic payment at a merchant at the time of the payment transaction.
  • This verification is carried out at the merchant's electronic payment terminal.
  • the payment code displayed by the card reader is recorded in a memory area of the smart card at the end of step 130.
  • the electronic payment terminal verifies that the payment code entered by the holder of the smart card is identical to that recorded in the smart card. If the two payment codes are identical, we go to step 150. Otherwise, the payment operation is interrupted and a message indicating that the payment code entered on the keyboard of the electronic payment terminal is incorrect is displayed on terminal screen.
  • the payment code recorded on the smart card is then either erased automatically by the payment terminal after the comparison, or "overwritten" by, the following payment code, or erased by the card reader when the chip card is reinserted there for a new payment transaction.
  • the holder of the smart card can dial his confidential code on his reader away from prying eyes; the transmission of information relating to a payment can be done securely since the transmitted data can only be used for one electronic payment transaction;

Abstract

The invention concerns a method for authorising an electronic payment operation by smart card. Said method is designed to protect the smart card bearer against the risks related to the loss or theft of the smart card and/or data tampering during an electronic payment operation. The invention is characterised in that it consists in: preparing a ordered list of payment codes and loading said list into the bank computer system and into a smart card reader carried by the smart card bearer. Before each payment operation, extracting the first payment code from the list of the reader, using the card confidential code. During a payment operation, the bearer supplies said payment code. The payment is authorised if the list of payment codes supplied corresponds to a code belonging to the list of payment codes recorded in the bank computer system. Preferably, the payment is authorised if the code supplied corresponds to one of the N first payment codes of the list.

Description

PROCEDE D'AUTORISATION D'UNE OPERATION DE PAIEMENT ELECTRONIQUE PAR CARTE A PUCE METHOD FOR AUTHORIZING A CHIP CARD ELECTRONIC PAYMENT OPERATION
La présente invention concerne un procédé d'autorisation d'une opération de paiement électronique par carte à puce. Ce procédé est destiné à protéger le porteur de la carte à puce contre les risques liés à la perte ou au vol de la carte à puce et/ou au piratage des données transférées lors d'une opération de paiement électronique.The present invention relates to a method for authorizing an electronic payment transaction by smart card. This method is intended to protect the holder of the smart card against the risks associated with the loss or theft of the smart card and / or hacking of the data transferred during an electronic payment transaction.
A ce jour, il n'existe pas de système de paiement garantissant un niveau de protection suffisant à un porteur de carte à puce contre l'utilisation frauduleuse de sa carte à puce en cas de perte ou de vol de celle-ci ou contre l'utilisation frauduleuse des informations contenues dans cette carte à puce.To date, there is no payment system guaranteeing a sufficient level of protection for a smart card holder against fraudulent use of his smart card in the event of loss or theft thereof or against fraudulent use of the information contained in this smart card.
Aussi, l'invention procède d'une recherche menée relativement aux paiements électroniques par carte à puce en vue de les sécuriser.Also, the invention proceeds from research carried out in relation to electronic payments by smart card with a view to securing them.
'invention concerne un procédé d'autorisation d'une opération de paiement électronique par carte à puce, un code confidentiel étant associé à ladite carte à puce pour lire les informations contenues dans la puce, lequel procédé comprend les étapes suivantes : a) élaboration d'une liste ordonnée de codes de paiement différents par l'émetteur de ladite carte à puce, chaque code de paiement ne pouvant servir qu'à une seule opération de paiement électronique, b) enregistrement de ladite liste ordonnée dans le système informatique de l'émetteur de la carte à puce et dans une zone mémoire d'un lecteur de ladite carte à puce détenu par le porteur de la carte à puce, c) avant une opération de paiement électronique, introduction de ladite carte à puce dans ledit lecteur de carte à puce 'et composition du code confidentiel pour obtenir l'affichage du premier code de paiement de la liste enregistrée dans le lecteur, lequel premier code de paiement est alors supprimé de la liste, d) lors de l'opération de paiement électronique, fourniture dudit code de paiement obtenu à l'étape c) en plus des informations permettant d'identifier le porteur de la carte à puce, e) transmission dudit code de paiement et desdites informations d'identification du porteur de la carte à puce à l'émetteur de la carte à puce pour vérification, et f) autorisation de l'opération de paiement par l'émetteur de la carte à puce après vérification que ledit code de paiement appartient à la liste enregistrée dans le système informatique de l'émetteur de la carte à puce.The invention relates to a method for authorizing an electronic payment transaction by chip card, a confidential code being associated with said chip card to read the information contained in the chip, which method comprises the following steps: a) preparation of '' an ordered list of different payment codes by the issuer of said smart card, each payment code can only be used for a single electronic payment transaction, b) recording of said ordered list in the computer system of the issuer of the smart card and in a memory area of a reader of said smart card held by the holder of the smart card, c) before an operation of electronic payment, insertion of said smart card in said smart card reader 'and composition of the confidential code for displaying the first payment code to the list stored in the drive, wherein the first payment code is removed from the list, d) during the electronic payment transaction, supply of said payment code obtained in step c) in addition to the information making it possible to identify the holder of the smart card, e) transmission of said payment code and said identification information of the holder of the smart card to the issuer of the smart card for verification, and f) authorization of the payment transaction by the issuer of the smart card after verification that said payment code belongs to the list recorded in the computer system of the smart card issuer.
De préférence, l'opération de paiement électronique est autorisée si le code de paiement transmis correspond à l'un des N premiers codes de paiement de la liste enregistrée dans le système informatique de l'émetteur de la carte à puce, le code de paiement étant alors supprimé de ladite liste. N désigne ici un entier naturel supérieur ou égal à 2. Selon un mode de réalisation plus perfectionné, le lecteur de carte enregistre en outre dans la carte à puce lors de l'étape c) le code de paiement obtenu. Lors d'une opération de paiement électronique avec un terminal de paiement électronique, le terminal de paiement électronique vérifie alors, avant transmission du code de paiement, que celui-ci correspond au code de paiement composé par le porteur de la carte à puce sur le terminal de. paiement électronique. Si ces deux codes ne sont pas identiques, l'opération de paiement est interrompue .Preferably, the electronic payment transaction is authorized if the payment code transmitted corresponds to one of the first N payment codes from the list recorded in the computer system of the smart card issuer, the payment code. then being removed from said list. N denotes here a natural integer greater than or equal to 2. According to a more sophisticated embodiment, the card reader also registers in the smart card during step c) the payment code obtained. During an electronic payment transaction with an electronic payment terminal, the electronic payment terminal then verifies, before transmission of the payment code, that it corresponds to the payment code composed by the holder of the smart card on the terminal of. electronic payment. If these two codes are not identical, the payment transaction is interrupted.
L'invention concerne également un lecteur de carte à puce pour la mise en œuvre des étapes b) et c) du procédé de l'invention. Ce lecteur de carte à puce comporte :The invention also relates to a smart card reader for the implementation of steps b) and c) of the method of the invention. This smart card reader includes:
- une fente dans laquelle est introduite la carte à puce, - un microprocesseur pour lire des informations contenues dans la puce de la carte à puce, enregistrer dans une de ses mémoires la liste de codes de paiement contenue dans la carte à puce et, éventuellement, enregistrer un code paiement de la liste dans la carte à puce,- a slot into which the chip card is inserted, - a microprocessor for reading information contained in the chip of the chip card, recording in one of its memories the list of payment codes contained in the chip card and, possibly , save a payment code from the list in the smart card,
- un clavier alphanumérique pour composer le code confidentiel de la carte à puce, et- an alphanumeric keypad for entering the confidential code of the smart card, and
- un écran d'affichage pour afficher le premier code de paiement de la liste ordonnée de codes de paiement. D'autres caractéristiques et avantages de l'invention apparaîtront à la lecture de la description détaillée qui suit et qui est faite en référence à la figure unique qui représente un organigramme des étapes du procédé de 1 ' invention- a display screen for displaying the first payment code from the ordered list of payment codes. Other characteristics and advantages of the invention will appear on reading the detailed description which follows and which is given with reference to the single figure which represents a flow diagram of the steps of the method of the invention
En référence à la figure unique, le procédé comporte une première étape, référencée 100, consistant à élaborer une liste ordonnée de codes de paiement différents. Cette liste est élaborée, par exemple de manière aléatoire, par l'émetteur de la carte à puce qui est traditionnellement une banque. Chaque code de paiement de la liste ne peut servir qu'à une seule opération de paiement . Ces codes de paiement sont prévus pour être utilisés dans l'ordre de la liste. Cette liste est bien entendu confidentielle et n'est connue que de 1 ' émetteur de la carte à puce .Referring to the single figure, the method comprises a first step, referenced 100, consisting in developing an ordered list of different payment codes. This list is drawn up, for example at random, by the issuer of the smart card which is traditionally a bank. Each payment code in the list can only be used for one payment transaction. These payment codes are intended to be used in the order of the list. This list is of course confidential and is known only to the issuer of the smart card.
La liste de codes de paiement est enregistrée dans, le système informatique de 1 ' émetteur de la carte à puce et dans un lecteur de carte à puce détenu par le porteur de la carte à puce. Le lecteur de carte à puce se présente par exemple sous la forme d'un boîtier comportant une fente pour 1 ' introduction de la carte à puce, un clavier comprenant des touches numériques ou alphanumériques et des touches de fonction, un microprocesseur pour lire des données contenues dans la carte à puce et en enregistrer dans une mémoire du microprocesseur, et un écran d'affichage à cristaux liquides pour afficher des informations. L'enregistrement de la liste de codes de paiement dans le lecteur de carte du porteur est par exemple opéré en deux temps: un premier temps (étape 110) pendant lequel la liste est enregistrée dans la carte à puce et un second temps (étape 120) pendant lequel la liste mémorisée dans la carte à puce est transférée et stockée dans le lecteur de carte. L'étape 110 peut être opérée au moyen d'un distributeur automatique de billets en relation avec le système informatique de 1 ' émetteur de la carte ou directement par 1 ' émetteur de la carte à puce. S 'agissant de l'étape 120, le lecteur de carte est par exemple muni d'une touche de fonction spécifique ENR. Lorsque la carte à puce est introduite dans le lecteur et que le porteur de la carte à puce appuie sur la touche ENR, la liste de codes de paiement est transférée dans une mémoire du lecteur de carte à puce. Pour plus de sécurité, cette opération de transfert de la liste peut nécessiter la saisie du code confidentiel de la carte à puce et est de préférence effectuée à l'abri des regards indiscrets par le porteur de la carte, par exemple à son domicile.The list of payment codes is stored in the computer system of the issuer of the smart card and in a smart card reader held by the holder of the smart card. The chip card reader is for example in the form of a box comprising a slot for the insertion of the chip card, a keyboard comprising numeric or alphanumeric keys and function keys, a microprocessor for reading data contained in the smart card and save it to a microprocessor memory, and a liquid crystal display screen to display information. The recording of the list of payment codes in the cardholder's card reader is for example carried out in two stages: a first stage (step 110) during which the list is recorded in the chip card and a second stage (stage 120 ) during which the list stored in the smart card is transferred and stored in the card reader. Step 110 can be operated by means of an automatic cash dispenser in connection with the computer system of the card issuer or directly by the chip card issuer. As regards step 120, the card reader is for example provided with a specific ENR function key. When the smart card is inserted into the reader and the smart card holder presses the REC key, the list of payment codes is transferred to a memory of the smart card reader. For more security, this transfer operation of the list may require the entry of the confidential code of the smart card and is preferably carried out out of prying eyes by the holder of the card, for example at his home.
Avant une opération de paiement électronique, par exemple chez un commerçant ou sur un site de vente par correspondance, le porteur introduit sa carte à puce dans le lecteur de carte et compose son code confidentiel sur le clavier pour faire apparaître sur l'écran d'affichage du lecteur le premier code de paiement de la liste mémorisée dans le lecteur de carte (étape 130) . De même que précédemment, le porteur peut effectuer cette opération à l'abri des regards indiscrets, par exemple chez lui ou dans son automobile. Le code de paiement obtenu n'est alors valable que pour une seule opération de paiement et est ensuite supprimé automatiquement de la liste après affichage.Before an electronic payment transaction, for example at a merchant or on a mail order site, the bearer inserts his smart card into the card reader and dials his confidential code on the keyboard to appear on the screen. display of the reader the first payment code from the list stored in the card reader (step 130). As before, the wearer can perform this operation out of sight indiscreet, for example at home or in his car. The payment code obtained is then valid for only one payment transaction and is then automatically deleted from the list after display.
Pour effectuer ensuite une opération de paiement chez un commerçant, le porteur introduit sa carte à puce dans le terminal de paiement électronique du commerçant et compose le .code de paiement affiché par le lecteur de carte sur le clavier du terminal de paiement (étapeTo then carry out a payment transaction with a merchant, the holder inserts his smart card into the merchant's electronic payment terminal and dials the payment code displayed by the card reader on the keyboard of the payment terminal (step
140) . Dans le cas d'un paiement électronique par lettre, par téléphone ou sur un site de vente par140). In the case of electronic payment by letter, by telephone or on a sales site by
• correspondance, le porteur communique son nom, son numéro de carte à 16 chiffres, la date de validité de sa carte et le code de paiement obtenu à l'étape 130. Ces informations, à savoir le code de paiement, le numéro de carte, le nom du porteur et la date de validité de la carte, sont ensuite transmises, à l'émetteur de la carte à puce (étape 150). L'émetteur de la carte à puce vérifie alors que le code de paiement transmis correspond à un code de la liste enregistrée dans son système informatique et autorise l'opération de paiement si tel est le cas (étape 160). De préférence, l'émetteur de la carte à puce vérifie que le code de paiement transmis correspond à l'un des N premiers codes de paiement de la liste de codes de paiement enregistrée dans son système informatique, N étant par exemple un entier naturel égal à 3 ou 4 , afin d'augmenter le niveau de sécurisation de l'opération de paiement . On peut envisager de ne comparer le code de paiement transmis qu'avec le premier code de paiement de la liste enregistrée dans le système informatique de l'émetteur. Cette variante n'est toutefois acceptable que si l'opération de vérification est effectuée "en ligne" au moment de la transaction. En effet, aucun autre paiement ne sera autorisé par 1 ' émetteur de la carte à puce tant que la vérification du code de paiement fourni au commerçant n'aura pas été effectuée. Cette variante n'est donc pas applicable dans le cas de paiements électroniques par lettre, par téléphone ou sur un site de vente par correspondance pour lesquels il peut parfois s'écouler un laps de temps assez long entre la transmission du code de paiement au commerçant et la vérification du code de paiement.• correspondence, the holder communicates his name, his 16-digit card number, the validity date of his card and the payment code obtained in step 130. This information, namely the payment code, the card number , the name of the holder and the date of validity of the card are then transmitted to the issuer of the smart card (step 150). The smart card issuer then verifies that the transmitted payment code corresponds to a code from the list recorded in its computer system and authorizes the payment operation if this is the case (step 160). Preferably, the issuer of the smart card verifies that the payment code transmitted corresponds to one of the N first payment codes from the list of payment codes recorded in its computer system, N being for example an equal natural number to 3 or 4, in order to increase the level of security of the payment transaction. We can consider not comparing the code of payment transmitted only with the first payment code from the list recorded in the issuer's computer system. This variant is however only acceptable if the verification operation is carried out "online" at the time of the transaction. Indeed, no other payment will be authorized by the issuer of the smart card until the verification of the payment code provided to the merchant has not been carried out. This variant is therefore not applicable in the case of electronic payments by letter, telephone or on a mail order site for which there may sometimes elapse a fairly long period of time between the transmission of the payment code to the merchant. and verification of the payment code.
Le code de paiement ne pourra pas être réutilisé par un "pirateur" ou un fraudeur éventuel car il ne peut servir que pour une seule opération de paiement . Après vérification, ce code de paiement est en effet supprimé de la liste de codes de paiement enregistrée dans le système informatique de 1 ' émetteur de la carte à puce . On peut prévoir toutefois de conserver ce code de paiement dans une liste de codes renfermant les codes de paiement déjà utilisés. Cette liste pourra être consultée par 1 ' émetteur de la carte à puce en cas de litige.The payment code cannot be reused by a "hacker" or a possible fraudster because it can only be used for a single payment transaction. After verification, this payment code is indeed deleted from the list of payment codes recorded in the computer system of the issuer of the smart card. However, provision can be made to keep this payment code in a list of codes containing the payment codes already used. This list may be consulted by the issuer of the smart card in the event of a dispute.
Selon un mode de réalisation plus perfectionné, on prévoit de réaliser une vérification supplémentaire dans le cas d'un paiement électronique chez un commerçant au moment de 1 ' opération de paiement électronique (étape 140) . Cette vérification est effectuée au niveau du terminal de paiement électronique du commerçant. Pour réaliser cette vérification, le code de paiement affiché par le lecteur de carte est enregistré dans une zone mémoire de la carte à puce à la fin de l'étape 130. Ensuite, au moment de l'opération de paiement (étape 140), le terminal de paiement électronique vérifie que le code de paiement composé par le porteur de la carte à puce est identique à celui enregistré dans la carte à puce. Si les deux codes de paiement sont identiques, on passe à l'étape 150. Sinon, l'opération de paiement est interrompue et un message signalant que le code de paiement tapé sur le clavier du terminal de paiement électronique est erroné s'affiche sur l'écran du terminal. Dans ce mode de réalisation perfectionné, le code de paiement enregistré sur la carte à puce est ensuite soit effacé automatiquement par le terminal de paiement après la comparaison, soit "écrasé" par , le code de paiement suivant, soit effacé par le lecteur de carte au moment où la carte à puce y est réinsérée pour une nouvelle opération de paiement.According to a more sophisticated embodiment, provision is made to carry out an additional verification in the case of an electronic payment at a merchant at the time of the payment transaction. electronics (step 140). This verification is carried out at the merchant's electronic payment terminal. To carry out this verification, the payment code displayed by the card reader is recorded in a memory area of the smart card at the end of step 130. Then, at the time of the payment operation (step 140), the electronic payment terminal verifies that the payment code entered by the holder of the smart card is identical to that recorded in the smart card. If the two payment codes are identical, we go to step 150. Otherwise, the payment operation is interrupted and a message indicating that the payment code entered on the keyboard of the electronic payment terminal is incorrect is displayed on terminal screen. In this improved embodiment, the payment code recorded on the smart card is then either erased automatically by the payment terminal after the comparison, or "overwritten" by, the following payment code, or erased by the card reader when the chip card is reinserted there for a new payment transaction.
Les avantages procurés par le procédé de 1 ' invention sont nombreux:The advantages provided by the process of the invention are numerous:
- le porteur de la carte à puce peut composer son code confidentiel sur son lecteur à l'abri des regards indiscrets; la transmission des informations relatives à un paiement peut se faire en toute sécurité puisque les données transmises ne peuvent servir qu'à une seule opération de paiement électronique;- the holder of the smart card can dial his confidential code on his reader away from prying eyes; the transmission of information relating to a payment can be done securely since the transmitted data can only be used for one electronic payment transaction;
- pour utiliser frauduleusement une carte à puce, il faut disposer à la fois, de la carte à puce, du lecteur de carte associé et du code confidentiel de la carte à puce;- to fraudulently use a smart card, you need both the smart card, the associated card reader and the confidential code of the smart card;
- ce procédé peut être très facilement mis en œuvre sans coût excessif; le code de paiement qui est fourni lors d'une opération de . paiement électronique peut servir de signature électronique, par exemple lors d'un achat sur un site de vente par correspondance ou par téléphone. - This process can be very easily implemented without excessive cost; the payment code that is provided during a transaction. electronic payment can be used as an electronic signature, for example during a purchase on a mail-order or telephone sales site.

Claims

REVENDICATIONS
1) Procédé d'autorisation d'une opération de paiement électronique par carte à puce, un code confidentiel étant associé à ladite carte à puce pour lire les informations contenues dans la puce, lequel procédé comprend les étapes suivantes : a) élaboration d'une liste ordonnée de codes de paiement différents par l'émetteur de ladite carte à puce, chaque code de paiement ne pouvant servir qu'à une seule opération de paiement électronique, b) enregistrement de ladite liste ordonnée dans le système informatique de 1 ' émetteur de la carte à puce et dans une zone mémoire d'un lecteur de ladite carte à puce détenu par le porteur de la carte à puce, c) avant une opération de paiement électronique, introduction de ladite carte à puce dans ledit lecteur de carte à puce et composition du code confidentiel pour obtenir l'affichage du premier code de paiement, de la liste enregistrée dans le lecteur, lequel premier code de paiement est alors supprimé de la liste, d) lors de l'opération de paiement électronique, fourniture dudit code de paiement obtenu à l'étape c) en plus des informations permettant d'identifier le porteur de la carte à puce, e) transmission dudit code de paiement et desdites informations d'identification du porteur de la carte à puce à l'émetteur de la carte à puce pour vérification, et f) autorisation de l'opération de paiement par l'émetteur de la carte à puce après vérification que ledit code de paiement appartient à la liste enregistrée dans le système informatique de l'émetteur de la carte à puce .1) Method for authorizing an electronic payment transaction by chip card, a confidential code being associated with said chip card to read the information contained in the chip, which method comprises the following steps: a) preparation of a ordered list of different payment codes by the issuer of said smart card, each payment code can only be used for a single electronic payment transaction, b) recording of said ordered list in the computer system of the issuer of the smart card and in a memory area of a reader of said smart card held by the holder of the smart card, c) before an electronic payment transaction, introduction of said smart card into said smart card reader and composition of the confidential code to obtain the display of the first payment code, of the list recorded in the reader, which first payment code is then deleted from the list, d ) during the electronic payment transaction, supply of said payment code obtained in step c) in addition to the information making it possible to identify the holder of the smart card, e) transmission of said payment code and of said information identification of the holder of the smart card to the issuer of the smart card for verification, and f) authorization of the payment transaction by the issuer of the smart card after verification that said payment code belongs to the list recorded in the computer system of the smart card issuer.
2) Procédé selon la revendication 1, caractérisé en ce que 1 ' opération de paiement électronique est autorisée si le code de paiement transmis correspond à l'un des N premiers codes de paiement de la liste enregistrée dans le système informatique de 1 ' émetteur de la carte à puce, le code de paiement étant alors supprimé de ladite liste.2) Method according to claim 1, characterized in that the electronic payment transaction is authorized if the transmitted payment code corresponds to one of the N first payment codes from the list recorded in the computer system of the issuer of the smart card, the payment code then being deleted from said list.
3) Procédé selon la revendication 1 ou 2 , caractérisé en ce que, pour enregistrer ladite liste ordonnée de codes de paiement dans le lecteur de carte à puce lors de l'étape b) , ladite liste est enregistrée dans la puce de la carte à puce puis transférée de la carte à puce vers une zone mémoire du lecteur de carte à puce.3) Method according to claim 1 or 2, characterized in that, to store said ordered list of payment codes in the smart card reader during step b), said list is saved in the chip of the smart card chip then transferred from the smart card to a memory area of the smart card reader.
4) Procédé selon l'une des revendications 1 à 3, caractérisé en ce que le lecteur de carte enregistre en outre lors de l'étape c) le code de paiement affiché dans la carte à puce, et en ce que, lors d'une opération de paiement électronique à l'aide d'un terminal de paiement électronique, ledit terminal de paiement électronique vérifie, avant transmission du code de paiement obtenu à l'étape c) , que le code de paiement composé sur le terminal de paiement électronique par le porteur de la carte à puce correspond au code de paiement enregistré sur la carte à puce. 5) Lecteur de carte à puce pour la mise en œuvre des étapes b) et c) du procédé selon les revendications 1 à4) Method according to one of claims 1 to 3, characterized in that the card reader also records in step c) the payment code displayed in the smart card, and in that, during an electronic payment transaction using an electronic payment terminal, said electronic payment terminal verifies, before transmission of the payment code obtained in step c), that the payment code composed on the electronic payment terminal by the holder of the smart card corresponds to the payment code recorded on the smart card. 5) Smart card reader for the implementation of steps b) and c) of the method according to claims 1 to
4, caractérisé en ce qu'il comporte: - une fente dans laquelle est introduite la carte à puce, un microprocesseur pour lire des informations contenues dans la puce de la carte à puce, enregistrer dans une de ses mémoires la liste de codes de paiement contenue dans, la carte à puce et, éventuellement, enregistrer un code paiement de la liste dans la carte à puce, un clavier alphanumérique pour composer le code confidentiel de la carte à puce, et - un écran d'affichage pour afficher le premier code de paiement de la liste ordonnée de codes de paiement. 4, characterized in that it comprises: - a slot into which the smart card is inserted, a microprocessor for reading information contained in the chip of the smart card, recording in one of its memories the list of payment codes contained in the smart card and, optionally, save a payment code from the list in the smart card, an alphanumeric keyboard to enter the confidential code of the smart card, and - a display screen to display the first code the ordered list of payment codes.
PCT/FR2002/002410 2001-07-11 2002-07-10 Method for authorising an electronic payment operation by smart card WO2003007250A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR01/09185 2001-07-11
FR0109185A FR2827411B1 (en) 2001-07-11 2001-07-11 METHOD FOR AUTHORIZING A CHIP CARD ELECTRONIC PAYMENT OPERATION

Publications (1)

Publication Number Publication Date
WO2003007250A1 true WO2003007250A1 (en) 2003-01-23

Family

ID=8865353

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2002/002410 WO2003007250A1 (en) 2001-07-11 2002-07-10 Method for authorising an electronic payment operation by smart card

Country Status (2)

Country Link
FR (1) FR2827411B1 (en)
WO (1) WO2003007250A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010126509A2 (en) 2009-04-30 2010-11-04 Donald Michael Cardina Systems and methods for randomized mobile payment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1985003787A1 (en) * 1984-02-14 1985-08-29 Peter White Electronic transaction security system
US5317636A (en) * 1992-12-09 1994-05-31 Arris, Inc. Method and apparatus for securing credit card transactions
US5627355A (en) * 1994-07-13 1997-05-06 Rahman; Sam Transaction device, equipment and method for protecting account numbers and their associated personal identification numbers
FR2771533A1 (en) * 1997-11-21 1999-05-28 Taib Thierry Baillie Secure card for secure credit card payment
FR2788154A1 (en) * 1998-12-01 2000-07-07 Philippe Baron D Secure data exchange for electronic or internet payments

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1985003787A1 (en) * 1984-02-14 1985-08-29 Peter White Electronic transaction security system
US5317636A (en) * 1992-12-09 1994-05-31 Arris, Inc. Method and apparatus for securing credit card transactions
US5627355A (en) * 1994-07-13 1997-05-06 Rahman; Sam Transaction device, equipment and method for protecting account numbers and their associated personal identification numbers
FR2771533A1 (en) * 1997-11-21 1999-05-28 Taib Thierry Baillie Secure card for secure credit card payment
FR2788154A1 (en) * 1998-12-01 2000-07-07 Philippe Baron D Secure data exchange for electronic or internet payments

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010126509A2 (en) 2009-04-30 2010-11-04 Donald Michael Cardina Systems and methods for randomized mobile payment
EP2425386A2 (en) * 2009-04-30 2012-03-07 Donald Michael Cardina Systems and methods for randomized mobile payment

Also Published As

Publication number Publication date
FR2827411A1 (en) 2003-01-17
FR2827411B1 (en) 2003-12-12

Similar Documents

Publication Publication Date Title
US6273335B1 (en) System and method for locking and unlocking an application in a smart card
US6615194B1 (en) System for secure execution of credit based point of sale purchases
US7003495B1 (en) Portable electronic authorization system and method
US5365046A (en) Preventing unauthorized use of a credit card
US7347361B2 (en) System, method and program product for account transaction validation
US6182894B1 (en) Systems and methods for authorizing a transaction card
US8376223B2 (en) Method and apparatus for securely activating a credit card for a limited period of time
US20030163434A1 (en) Parking fee payment system
US7210621B2 (en) Secure credit card and method and apparatus for utilizing the same
US20100031043A1 (en) Portable electronic authorization system and method
JPH08509560A (en) Method and apparatus for magnetically storing and retrieving credit card transaction information
CN101107635A (en) Secure credit card adapter
CA2534987A1 (en) Systems and methods for facilitating transactions
FR2586124A1 (en) DEVICE FOR LOCKING MACHINE WITH POSTAGE
JPH09245104A (en) Electronic wallet device
US7526449B1 (en) Optically encoded card and system and method for using
WO2003007250A1 (en) Method for authorising an electronic payment operation by smart card
CA3042106A1 (en) Process and system to carry out a secured data exchange
FR2832829A1 (en) Authentication of data sent or received by a user, uses mobile terminal and smart card carried by user to connect to authentication server
WO2004109462A3 (en) System and method for fleet card management
WO2003010720A2 (en) Method and system using a user portable device for validating a request with an entity
WO2003056524A1 (en) Self-locking smart card and device for ensuring the security thereof
US20080294557A1 (en) Data Processing System And Method
US8548857B2 (en) Method and system for detection of credit card fraud
EP3564914A1 (en) Method and system for performing a secure data exchange

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LU MC NL PT SE SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LU MC NL PT SE SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG US

121 Ep: the epo has been informed by wipo that ep was designated in this application
REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP