ES2534591T3 - Dispositivo para leer tarjetas de banda magnética y/o inteligentes con pantalla táctil para la introducción del PIN - Google Patents

Dispositivo para leer tarjetas de banda magnética y/o inteligentes con pantalla táctil para la introducción del PIN Download PDF

Info

Publication number
ES2534591T3
ES2534591T3 ES11191060.0T ES11191060T ES2534591T3 ES 2534591 T3 ES2534591 T3 ES 2534591T3 ES 11191060 T ES11191060 T ES 11191060T ES 2534591 T3 ES2534591 T3 ES 2534591T3
Authority
ES
Spain
Prior art keywords
display unit
module
data
touch
security module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11191060.0T
Other languages
English (en)
Inventor
Peter Golücke
Andrea Carozzi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wincor Nixdorf International GmbH
Original Assignee
Wincor Nixdorf International GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wincor Nixdorf International GmbH filed Critical Wincor Nixdorf International GmbH
Application granted granted Critical
Publication of ES2534591T3 publication Critical patent/ES2534591T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/201Accessories of ATMs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0487Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser
    • G06F3/0488Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures
    • G06F3/04886Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures by partitioning the display area of the touch-screen or the surface of the digitising tablet into independently controllable areas, e.g. virtual keyboards or menus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1033Details of the PIN pad

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • User Interface Of Digital Computer (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Dispositivo para leer tarjetas de banda magnética y/o inteligentes, especialmente tarjetas bancarias, tarjetas EC y/o tarjetas de crédito, que comprende una unidad de visualización (14), un módulo táctil (16) que está dispuesto delante de la unidad de visualización (14) y que comprende al menos un sensor para detectar una posición de un toque de una zona de visualización, y un módulo de seguridad (18) para controlar la unidad de visualización (14) y el módulo táctil (16), transmitiendo el módulo de seguridad (18) a la unidad de visualización (14) unos primeros datos para representar un teclado (42) con ayuda de la unidad de visualización (14) para introducir un número de identificación personal (PIN), generando el módulo táctil (16), en respuesta al toque de la unidad de visualización, unos segundos datos con informaciones sobre la posición del toque y cifrando el módulo táctil (16) los segundos datos y transmitiendo estos segundos datos cifrados al módulo de seguridad (18), caracterizado por que el módulo de seguridad (18) determina si el dispositivo (10) se hace funcionar en un modo de funcionamiento seguro o en un modo de funcionamiento inseguro, y por que el módulo de seguridad (18) activa la unidad de visualización (14) de tal manera que está unidad de visualización (14) indique en qué estado de funcionamiento se hace funcionar el dispositivo (10), o por que se indica el modo de funcionamiento a través de una lámpara dispuesta fuera de la unidad de visualización, o por que se efectúa la emisión del modo de funcionamiento a través de un tono de aviso.

Description

5
10
15
20
25
30
35
40
45
50
E11191060
08-04-2015
DESCRIPCIÓN
Dispositivo para leer tarjetas de banda magnética y/o inteligentes con pantalla táctil para la introducción del PIN
La invención concierne a un dispositivo para leer tarjetas de banda magnética y/o inteligentes, especialmente para leer tarjetas bancarias, tarjetas EC y/o tarjetas de crédito. El dispositivo comprende una unidad de visualización y un módulo táctil dispuesto delante de la unidad de visualización, el cual comprende al menos un sensor para obtener una posición de un toque de una zona de visualización. Asimismo, el dispositivo tiene un módulo de seguridad para controlar la unidad de visualización y el módulo táctil.
El dispositivo consiste especialmente en un cajero automático, un sistema de caja automático, una caja fuerte automática y/o un terminal de pagos que se utiliza, por ejemplo, en empresas del comercio minorista y/o en restaurantes para el pago sin dinero en efectivo del importe de facturas por medio de una tarjeta de banda magnética y/o inteligente, especialmente una tarjeta EC o una tarjeta de crédito. En dispositivos conocidos un usuario introduce una tarjeta de banda magnética y/o inteligente en una ranura prevista para ello. Con ayuda de una unidad de lectura se leen datos de la tarjeta de banda magnética y/o inteligente, a través de la cual se autentifica el usuario. Los dispositivos comprenden una unidad de visualización, a través de la cual se invita al usuario a introducir un número de identificación personal, un llamado PIN, debiendo asegurarse a través de la introducción del PIN que el usuario está también autorizado para sacar dinero y/o pagar con ayuda de la tarjeta de banda magnética y/o inteligente introducidas. El usuario introduce seguidamente el PIN a través de un teclado previsto para ello, especialmente a través de un llamado teclado de Pin encriptado (EPP, acrónimo de Encrypted Pin Pad).
En esta introducción del PIN a través del teclado es problemático el hecho de que se tiene que prever para ello adicionalmente un teclado EPP de adquisición relativamente cara para asegurar que no se pueda interceptar el PIN introducido. Asimismo, tiene que estar previsto para el teclado EPP un espacio de montaje que sea de escasas dimensiones en los dispositivos citados. Además, estos teclados EPP son susceptibles de intentos de clonación (skimming), ya que se pueden aplicar sencillamente sobre ellos unos teclados adicionales a través de los cuales se espía el PIN.
Se conoce por el documento DE 10 2008 014 324 A1 un aparato de autoservicio que comprende una unidad de mando y una superficie de cubierta con escotaduras que rodea a la unidad de mando.
Se conoce por el documento DE 10 2008 021 046 A1 un procedimiento para la puesta en funcionamiento de un teclado de un terminal de autoservicio.
Se conoce por el documento US 6.317.835 B1 un sistema para generar discrecionalmente datos cifrados y no cifrados.
La reivindicación 1 está limitada frente al documento US 6317835 B1.
El problema de la invención consiste en indicar un dispositivo para leer tarjetas de banda magnética y/o inteligentes que haga posible una introducción segura de un número de identificación personal.
Este problema se resuelve por medio de un dispositivo con las características de la reivindicación 1. En las reivindicaciones subordinadas se indican perfeccionamientos ventajosos de la invención.
Mediante el cifrado de los segundos datos, que comprenden informaciones sobre la posición del toque de la zona de visualización, se consigue por medio del módulo táctil y la transmisión cifrada de estos datos al módulo de seguridad que la posición del toque sea cifrada inmediatamente por el módulo táctil, de modo que las informaciones sobre la posición del toque no se transmitan sin cifrar. Por tanto, se evita una interceptación de las informaciones no cifradas y se evita así que se saquen conclusiones sobre la cifra del número de identificación personal señalada por la posición del toque o sobre todo el número de identificación personal. Se hace posible así una introducción segura del PIN. Mediante la transmisión de los primeros datos con informaciones para la representación de un teclado con ayuda de la unidad de visualización desde el módulo de seguridad hasta la unidad de visualización se asegura que no pueda manipularse la información representada con ayuda de la unidad de visualización y que el teclado para la introducción del PIN se visualice solamente cuando esto sea también necesario para el desarrollo del proceso.
El módulo táctil comprende preferiblemente su unidad de procesamiento, especialmente un procesador, que cifra los segundos datos. El módulo táctil presenta preferiblemente un criptoprocesador separado con cuya ayuda se cifran los datos. Por criptoprocesador se entiende especialmente una pastilla electrónica o un microprocesador que reúne en si las funciones básicas para la comunicación segura de datos, tales como la criptografía, la autentificación y la administración de claves de criptología.
El dispositivo consiste especialmente en un dispositivo para la manipulación de efectos de valor, por ejemplo un cajero automático, una caja fuerte automática y/o un sistema de caja automático. Asimismo, el dispositivo puede consistir también en un terminal de pagos, por ejemplo un terminal para el pago sin dinero en efectivo en filiales del
10
15
20
25
30
35
40
45
50
55
E11191060
08-04-2015
comercio minorista y/o en establecimientos de gastronomía. Además, el dispositivo puede ser también una impresora de extractos de cuentas y/o un terminal de información en una filial bancaria.
El dispositivo comprende especialmente un aparato lector en el que se introduce la tarjeta de banda magnética o inteligente y que lee los datos de la tarjeta de banda magnética o inteligente. Después de la lectura de los datos se invita al usuario del dispositivo, especialmente a través de la unidad de visualización, a que introduzca el PIN para asegurarse así de que el usuario está autorizado para utilizar la tarjeta de banda magnética y/o inteligente.
La zona de visualización sobre la cual se detecta la posición del toque puede estar formada por un cristal de la unidad de visualización y/o un cristal separado del módulo táctil. Asimismo, la unidad de visualización y el módulo táctil pueden estar configurados como integrados en forma de una pantalla táctil. La detección de la posición del toque a través del sensor se efectúa especialmente por vía óptica, resistiva, capacitiva y/o inductiva.
El módulo táctil puede ser especialmente un módulo táctil resistivo en el que el sensor comprende dos capas conductivas dispuestas delante de la unidad de visualización, estando aplicada una tensión a al menos una de estas capas y detectándose las tensiones en los bordes de la al menos una capa. En función de estas tensiones detectadas se detecta la posición del toque, especialmente con ayuda de la unidad de procesamiento del módulo táctil. Una de las dos capas puede estar configurada especialmente por el cristal.
Como alternativa, al módulo táctil puede ser también un módulo táctil capacitivo que comprende un cristal que está revestido con una capa transparente de óxido metálico. En las esquinas del revestimiento está aplicada una tensión eléctrica que genera un campo eléctrico uniforme. Mediante el toque del cristal se originan pequeñas corrientes que se miden en las esquinas. Las corrientes resultantes están en relación directa con la posición en la que el cristal del módulo táctil es tocado por un usuario. El cristal puede ser también un cristal de la unidad de visualización.
En otra forma de realización alternativa puede estar previsto también un módulo táctil que determina la posición del toque con ayuda de luz infrarroja. En este caso, el módulo táctil comprende unos diodos emisores de luz infrarroja que generan una red de rayos infrarrojos a través del cristal. Enfrente de los diodos emisores de luz infrarroja están previstos unos diodos detectores de luz infrarroja que reciben los rayos infrarrojos emitidos sin interrupción de los mismos. Al producirse un toque del cristal se interrumpe al menos una parte de los rayos infrarrojos emitidos, de modo que una parte de los diodos detectores no capta ninguna radiación infrarroja o bien capta una radiación infrarroja sensiblemente más pequeña. En función de esto, se determina la posición el toque, especialmente con ayuda de la unidad de procesamiento.
Los primeros datos y/o los segundos datos pueden transmitirse en forma de señales. Por disposición del módulo táctil delante de la unidad de visualización se entiende especialmente que el módulo táctil está dispuesto delante de una zona de visualización de la unidad de visualización. La zona de captación del módulo táctil para captar el toque está dispuesta preferiblemente entre la unidad de visualización y el usuario. En una forma de realización preferida de la invención el módulo de seguridad cifra los primeros datos y transmite estos datos cifrados a la unidad de visualización. Se consigue de esta manera que se impidan o al menos se dificulten una manipulación de los primeros datos y, por tanto, la manipulación de la información visualizada con ayuda de la unidad de visualización. En particular, se impide con esto que, ante una intención fraudulenta, se visualice en la unidad de visualización un teclado con la invitación a introducir el PIN.
El módulo táctil determina especialmente una primera coordenada y/o una segunda coordenada de la posición del toque de la zona de visualización y determina un primer valor de transmisión por adición de un primer valor de decalaje a la primera coordenada y/o un segundo valor de transmisión por adición de un segundo valor de decalaje a la segunda coordenada. Los segundos datos comprenden informaciones sobre el primer valor de transmisión y/o el segundo valor de transmisión. Mediante la adición de los valores de decalaje se consigue que no se transmita la coordenada real, sino un valor numérico modificado. Por tanto, se consigue que no sea posible deducir la posición del toque de la zona de visualización a partir de los valores de transmisión. En particular, sin los valores de decalaje se tiene que, solamente en base a los valores de transmisión, no se pueden sacar conclusiones sobre la cifra o el PIN introducidos a través del módulo táctil. La determinación de los valores de transmisión se efectúa especialmente con ayuda de la unidad de procesamiento del módulo táctil.
El módulo táctil determina preferiblemente el primer valor de decalaje y/o el segundo valor de decalaje, especialmente con ayuda de un generador de números aleatorios. Se consigue así que las coordenadas de diferentes toques de la zona de visualización, especialmente incluso cada coordenada de toques diferentes de la zona de indicación, sean falseadas con un valor de decalaje diferente, de modo que se consigue un mayor grado de seguridad. El módulo de seguridad transmite al módulo táctil unos terceros datos con informaciones sobre el primer valor de decalaje y/o el segundo valor de decalaje antes del toque de la zona de visualización. La transmisión se efectúa especialmente en forma cifrada, de modo que no se pueden capturar los valores de decalaje. Los valores de decalaje cifrados son descifrados especialmente por la unidad de procesamiento del módulo táctil. Por tanto, se incrementa aún más el grado de seguridad. En particular, cada cifra de un PIN se cifra con valores de decalaje distintos.
10
15
20
25
30
35
40
45
50
55
E11191060
08-04-2015
El cifrado de los primeros datos, los segundos datos y/o los terceros datos se efectúa preferiblemente con ayuda de un algoritmo de cifrado archivado, especialmente con ayuda de un algoritmo de cifrado del estándar de encriptado de datos (DES). Se incrementa así aún más la seguridad de transmisión de datos. En una forma de realización especialmente preferida de la invención se efectúan tanto el cifrado de los datos por la adición de los valores de decalaje como el cifrado por el algoritmo de cifrado archivado, de modo que se proporciona un cifrado doble de los datos transmitidos. Se consigue así un grado muy alto de seguridad de los datos.
El cifrado de los primeros, los segundos y/o los terceros datos se efectúa preferiblemente con ayuda del mismo algoritmo de cifrado. En una forma de realización alternativa de la invención el módulo de seguridad puede cifrar también los primeros datos y/o los terceros datos con un algoritmo de cifrado distinto del algoritmo de cifrado con el que el módulo táctil cifra los segundos datos.
El módulo de seguridad descifra preferiblemente los segundos datos recibidos del módulo táctil y determina la primera coordenada por resta del primer valor de decalaje respecto del primer valor de transmisión y/o la segunda coordenada por resta del segundo valor de decalaje respecto del segundo valor de transmisión. Se consigue así que en el módulo de seguridad puedan determinarse, a través de las coordenadas, la posición del toque de la zona de visualización y, por tanto, la cifra introducida.
Los primeros datos transmitidos por el módulo de seguridad al módulo táctil comprenden especialmente informaciones sobre la posición en la que se debe visualizar el teclado en la unidad de visualización. Los primeros datos comprenden en este caso especialmente una primera coordenada y una segunda coordenada de un punto preajustado del teclado, especialmente el punto medio del teclado. La posición en la que se visualiza el teclado en la unidad de visualización se fija por el módulo de seguridad especialmente con ayuda de un procedimiento aleatorio. A este fin, se determinan la primera coordenada y la segunda coordenada preferiblemente por un generador de números aleatorios. Se consigue así que, en caso de introducciones diferentes del número PIN, se visualice el teclado en posiciones diferentes de la unidad de visualización. Gracias a esta variación de la posición del teclado en la unidad de visualización se hace imposible que las personas que intenten fraudulentamente espiar el PIN saquen, en base a la posición en la que se toca la zona de visualización, una conclusión sobre la cifra del PIN introducida por el toque. En particular, se impide así que se instale en la zona de visualización con intención fraudulenta una unidad adicional para determinar la posición del toque de la zona de visualización a través de la cual las personas que realizan el fraude intenten llegar al PIN.
El módulo de seguridad controla para ello la unidad de visualización de tal manera que esta unidad de visualización, en una primera introducción de un PIN, visualice el teclado en una primera posición y, en una segunda introducción de un PIN, visualice dicho teclado en una segunda posición diferente de la primera posición.
El módulo táctil y el módulo de seguridad están unidos uno con otro preferiblemente a través de un primer enlace de cable, especialmente con ayuda de un cable USB. La unidad de visualización y el módulo de seguridad están unidos entre ellos preferiblemente a través de un segundo enlace de cable, especialmente con ayuda de un cable USB y/o un cable DVI. Gracias a la unión del módulo de seguridad con el módulo táctil o con la unidad de visualización a través de un enlace por cable se consigue un mayor grado de seguridad en comparación con una transmisión de datos por vía inalámbrica. Asimismo, es ventajoso que estén previstos un primer sensor para detectar una interrupción del primer enlace de cable y/o un segundo sensor para detectar una interrupción del segundo enlace de cable. Se pueden prevenir así intentos de manipulación, especialmente la intercalación de una unidad para leer los datos transmitidos a través del respectivo enlace de cable, y, por tanto, se pueden prevenir tales intentos de manipulación. Si el primer sensor y/o el segundo sensor detectan una interrupción del primero o del segundo enlace de cable, se dispara preferiblemente una alarma, con lo que se advierte a un usuario sobre el intento de manipulación. Asimismo, al detectarse una interrupción del primer enlace de cable y/o del segundo enlace de cable se puede encender un elemento de visualización rojo, por ejemplo un LED, o se puede activar una zona de visualización prevista para ello y/o un elemento de visualización previsto para ello, con lo que se llama la atención de un usuario sobre la manipulación. Como alternativa, es posible que, en caso de una interrupción del primer enlace de cable y/o del segundo enlace de cable, se ponga el dispositivo en un modo de avería en el que no sea posible una introducción de un PIN.
Es ventajoso que el módulo táctil comprenda un elemento de memoria en el que estén almacenados datos para la identificación unívoca del módulo táctil, especialmente un número de serie. El módulo de seguridad lee estos datos a intervalos de tiempo preajustados o bien continuamente y, en función de estos datos leídos, determina la presencia del módulo táctil. En una forma de realización especialmente preferida de la invención el módulo de seguridad compara el número de serie leído con un número de serie nominal preajustado. Cuando no coinciden el número de serie leído y el número de serie nominal y/o cuando el módulo de seguridad ni siquiera puede determinar un número de serie, se detecta con ello la no presencia de la unidad de visualización.
Asimismo, es ventajoso que la unidad de visualización comprenda también un elemento de memoria en el que estén almacenados datos para la identificación unívoca de la unidad de visualización. El módulo de seguridad lee también estos datos a intervalos de tiempo preajustados o bien continuamente y, en función de los datos leídos, determina la
10
15
20
25
30
35
40
45
50
55
E11191060
08-04-2015
presencia de la unidad de visualización. En el elemento de memoria de la unidad de visualización está almacenado también especialmente un número de serie que es comparado por el módulo de seguridad con un número de serie nominal preajustado.
El elemento de memoria del módulo táctil y/o el elemento de memoria de la unidad de visualización están preferiblemente unidos con el módulo de seguridad a través de un respectivo interbús de circuito integrado (I2C). Se consigue así una unión sencilla y segura contra falsificaciones.
Asimismo, es ventajoso que el módulo táctil y/o la unidad de visualización estén alojados, en una posición de montaje, dentro una carcasa del dispositivo y que estén previstos un primer interruptor de protección contra desmontaje y/o un segundo interruptor de protección contra desmontaje. Mediante el primer interruptor de protección contra desmontaje se puede determinar la retirada del módulo táctil de la posición de montaje y mediante el segundo interruptor de protección contra desmontaje se puede determinar la retirada de la unidad de visualización de la posición de montaje. A este fin, cuando el módulo táctil es retirado de la posición de montaje, el primer interruptor de protección contra desmontaje abre un circuito eléctrico cerrado o cierra un circuito eléctrico abierto. Gracias a la apertura o al cierre del circuito el módulo de seguridad detecta la retirada del módulo táctil de la posición de montaje. De manera correspondiente, el segundo interruptor de protección contra desmontaje abre este circuito eléctrico cerrado u otro circuito eléctrico cerrado o cierra este circuito eléctrico abierto u otro circuito eléctrico abierto cuando la unidad de visualización es retirada de la posición de montaje. En función de la apertura o del cierre del circuito, el módulo de seguridad detecta de manera correspondiente la retirada de la unidad de visualización de la posición de montaje. Por tanto, mediante los interruptores de protección contra desmontaje se puede determinar de manara sencilla cuándo el módulo táctil y/o la unidad de visualización son retirados de la posición de montaje, con lo que se pueden determinar intentos de manipulación de manera sencilla y próxima en el tiempo. En una forma de realización alternativa puede estar previsto también solamente un interruptor de protección contra desmontaje con cuya ayuda se pueda detectar tanto la retirada del módulo táctil de la posición de montaje como la retirada de la unidad de visualización de la posición de montaje.
Asimismo, es ventajoso que el módulo de seguridad determine si el dispositivo se hace funcionar en un modo de funcionamiento seguro o en un modo de funcionamiento inseguro. El dispositivo se hace funcionar en un modo de funcionamiento seguro especialmente cuando se transmiten datos en forma cifrada entre el módulo de seguridad y el módulo táctil, se transmiten cifrados los datos entre el módulo de seguridad y la unidad de visualización, el primer enlace de cable no está interrumpido, el segundo enlace de cable no está interrumpido, la unidad de visualización está dispuesta en la posición de montaje y/o el módulo táctil está dispuesto en la posición de montaje.
El modo de funcionamiento seguro es especialmente el módulo de funcionamiento que está previsto para la introducción del PIN. En una forma de realización especialmente preferida de la invención la introducción del PIN es posible solamente cuando el dispositivo se hace funcionar también realmente en el modo de funcionamiento seguro.
El módulo de seguridad controla la unidad de visualización especialmente de tal manera que se visualice a través de la unidad de visualización en qué estado de funcionamiento se hace funcionar el dispositivo. Se consigue así que un usuario del dispositivo pueda reconocer el modo de funcionamiento y, ante la visualización del modo de funcionamiento inseguro, pueda omitir la introducción del PIN. Por tanto, se incrementa la protección contra el espiado del PIN. La unidad de visualización visualiza especialmente una superficie roja y una superficie verde, con lo que, cuando el dispositivo se hace funcionar en el modo de funcionamiento seguro, la superficie verde está representada en un verde claro y la superficie roja está representada en un rojo oscuro, mientras que la superficie verde está representada en un verde oscuro y la superficie roja está representada en un rojo claro cuando el dispositivo se hace funcionar en el modo inseguro. En una forma de realización alternativa de la invención pueden estar previstas también unas lámparas dispuestas fuera de la unidad de visualización, especialmente unos LEDs, a través de las cuales se visualiza el modo de funcionamiento. Adicionalmente o como alternativa, es posible también la emisión del modo de funcionamiento por medio de un tono de aviso, especialmente la activación del tono de aviso en caso de un modo de funcionamiento inseguro.
Asimismo, es ventajoso que el módulo de seguridad active la unidad de visualización de tal manera que ésta visualice informaciones que inviten a un usuario del dispositivo a introducir el PIN solamente en el modo de funcionamiento securizado. Se impide así que el usuario no tenga en cuenta por descuido en qué modo de funcionamiento se hace funcionar el dispositivo, y se impide por ello que el usuario introduzca por descuido el PIN en el módulo de funcionamiento inseguro.
Asimismo, es ventajoso que en al menos una zona parcial de la unidad de visualización esté dispuesta una película de protección antivisión por medio de la cual las informaciones visualizadas con ayuda de la unidad de visualización puedan ser leídas solamente desde un rango de distancia de observación preajustado y/o un rango de ángulo de observación preajustado. El rango de distancia de observación y el rango de ángulo de observación se preajustan especialmente de tal manera que solamente un usuario situado inmediatamente delante de la unidad de visualización pueda leer las informaciones visualizadas. Se dificulta así el espiado del PIN, ya que la persona espía puede ciertamente reconocer qué sitio de la zona de visualización toca el usuario que ingresa el PIN, pero no puede
10
15
20
25
30
35
40
45
50
E11191060
08-04-2015
reconocer qué cifra es visualizada en este sitio por la unidad de visualización. La película de protección antivisión forma especialmente un filtro de polarización.
Asimismo, es ventajoso que en al menos un lado de la unidad de visualización esté dispuesto al menos un elemento mecánico de protección antivisión para impedir el espiado de la introducción del PIN. En particular, en al menos tres lados de la unidad de visualización esta previsto un elemento mecánico de protección antivisión de esta clase. El elemento de protección antivisión impide o dificulta que una persona que esté espiando pueda reconocer en qué posición el usuario toca la zona de visualización.
El dispositivo puede comprender especialmente una unidad de control para controlar el módulo de seguridad, estando la unidad de control unida con el módulo de seguridad a través de al menos un enlace de transmisión de datos, preferiblemente un enlace de transmisión de datos por cable. La unidad de control sirve también especialmente para controlar otras unidades del dispositivo, por ejemplo para controlar una unidad de lectura para leer la tarjeta de banda magnética y/o inteligente. Mediante la intercalación del módulo de seguridad entre la unidad de control y el módulo táctil se consigue que la unidad de seguridad no tenga acceso directo a la unidad de visualización y al módulo táctil, de modo que, aún cuando una persona logre ganar acceso a la unidad de control, no sea posible por ello un acceso al PIN introducido y no puedan tampoco manipularse la unidad de visualización y el módulo táctil de tal manera que pueda adquirirse el PIN. Por tanto, se incrementa la seguridad.
En el modo de funcionamiento inseguro el módulo de seguridad retransmite inalterados a la unidad de visualización los datos generados por la unidad de control para controlar la unidad de visualización, de modo que se minimiza el coste de cálculo del módulo de seguridad para el caso de introducciones de datos que no sean relevantes para la seguridad. Por el contrario, en el módulo de funcionamiento seguro el módulo de seguridad retransmite a la unidad de visualización exclusivamente datos autogenerados. Se asegura así que en el modo de funcionamiento seguro las eventuales manipulaciones de la unidad de control no tengan influencia alguna sobre la visualización de la unidad de visualización. El módulo de seguridad comprende especialmente un interruptor DVI a través del cual el enlace de transmisión de datos de la unidad de control al módulo de seguridad en el modo de funcionamiento inseguro está unido directamente con un enlace de transmisión de datos del módulo de seguridad a la unidad de visualización, especialmente con el segundo enlace de cable. En el modo de funcionamiento seguro está interrumpido por el interruptor DVI el enlace de transmisión de datos anteriormente descrito entre la unidad de control y la unidad de visualización.
La unidad de control ejecuta especialmente datos de programa de un primer sistema operativo y el módulo de seguridad ejecuta datos de programa de un segundo sistema operativo diferente del primer sistema operativo. Los sistemas operativos están configurados especialmente de tal manera que no existe ninguna dependencia entre ellos. Por tanto, se incrementa aún más el grado de seguridad. El primer sistema operativo es especialmente un sistema operativo usual en el mercado, mientras que el segundo sistema operativo es un sistema operativo programado especialmente para las tareas del módulo de seguridad. Por tanto, se consigue que las lagunas de seguridad del sistema operativo usual en el mercado no tengan, al menos en el modo de funcionamiento seguro, repercusiones de ninguna clase para la seguridad de la introducción del PIN. Otras características y ventajas de la invención se desprenden de la descripción siguiente, que explica con más detalle la invención en unión de las figuras adjuntas referidas a ejemplos de realización.
Muestran:
La figura 1, un diagrama de bloques de un dispositivo para leer tarjetas de banda magnética y/o inteligentes;
La figura 2, una representación esquemática de un fragmento del dispositivo de la figura 1 según una primera forma de realización de la invención;
La figura 3, una representación esquemática de un fragmento del dispositivo de la figura 1 de acuerdo con una segunda forma de realización de la invención;
La figura 4, una representación esquemática de un fragmento del dispositivo de la figura 1 según una tercera forma de realización de la invención; y
La figura 5, una representación superpuesta de varias visualizaciones de una unidad de visualización del dispositivo de la figura 1 según la tercera forma de realización.
En la figura 1 se ofrece una representación esquemática fuertemente simplificada de un dispositivo 10 para leer una tarjeta de banda metálica y/o inteligente en forma de un diagrama de bloques. El dispositivo 10 comprende una unidad de lectura 12 para leer la tarjeta de banda magnética y/o inteligente, una unidad de visualización 14, un módulo táctil 16 dispuesto delante de la unidad de visualización 14, un módulo de seguridad 18 para controlar el módulo de visualización 14 y el módulo táctil 16, y una unidad de control 20 para controlar la unidad de lectura 12 y el módulo de seguridad 18.
10
15
20
25
30
35
40
45
50
55
E11191060
08-04-2015
El dispositivo 10 consiste especialmente en un cajero automático, una caja fuerte automática, un sistema de caja automático, un terminal de pagos, una impresora de extractos de cuentas y un terminal de información. La tarjeta de banda magnética y/o inteligente consiste especialmente en una tarjeta bancaria, una tarjeta EC y/o una tarjeta de crédito. Por disposición del módulo táctil 16 delante de la unidad de visualización 14 se entiende especialmente que el módulo táctil 16 está dispuesto delante de la unidad de visualización 14 con cuya ayuda se pueden visualizar las informaciones. El módulo táctil 16 está dispuesto especialmente entre un usuario que maneja el dispositivo 10 y la unidad de visualización 14. La unidad de visualización 14 consiste especialmente en un monitor. En este caso, el módulo táctil 16 está dispuesto delante del monitor.
El módulo táctil 16 comprende al menos un sensor no representado para detectar la posición del toque de una zona de visualización. La zona de visualización puede ser especialmente un cristal de la unidad de visualización 14 o un cristal separado del módulo táctil 16 previsto para proteger la unidad de visualización 14. La unidad de visualización 14 y el módulo táctil 16 pueden estar realizados preferiblemente como una sola pieza en forma de una pantalla táctil.
El módulo de seguridad 18 está unido con el módulo táctil 16 para la transmisión de datos a través de un primer enlace de cable 22, especialmente a través de un cable USB. Asimismo, el módulo de seguridad 18 está unido con la unidad de visualización 14 a través de un segundo enlace de cable 24, especialmente un cable USB y/o un cable DVI. Además, el módulo de seguridad 18 está unido con la unidad de control 20 a través de un enlace 26 de transmisión de datos. El enlace 26 de transmisión de datos se efectúa especialmente a través de un cable USB o un cable DVI. En una forma de realización alternativa de la invención la unidad de control 20 puede estar unida también con el módulo de seguridad 18 a través de dos enlaces de transmisión de datos, especialmente a través de un cable USB y a través de un cable DVI.
El módulo de seguridad 18 comprende un interruptor DVI 28 a través del cual, en un modo de funcionamiento inseguro, se hace que unos datos transmitidos de la unidad de control 20 al módulo de seguridad 18 a través del enlace 26 de transmisión de datos sean retransmitidos inalterados a la unidad de visualización 14 por medio del segundo enlace de cable 24. Por el contrario, en un módulo de funcionamiento seguro el interruptor DVI interrumpe el enlace directo entre la unidad de control 20 y la unidad de visualización 14, de modo que, a través del segundo enlace de cable 24, se pueden transmitir a la unidad de visualización 14 únicamente datos generados por el módulo de seguridad 18.
La unidad de control 20 es hecha funcionar especialmente con un primer sistema operativo y el módulo de seguridad 18 lo es con un segundo sistema operativo diferente del primer sistema operativo. El primer sistema operativo es especialmente un sistema operativo usual en el mercado, por ejemplo Windows de Microsoft, mientras que el segundo sistema operativo del módulo de seguridad 18 es un sistema operativo programado especialmente para el módulo de seguridad 18. Por tanto, el segundo sistema operativo está exactamente adaptado a las tareas del módulo de seguridad 18. Gracias a la separación del enlace de datos directo entre la unidad de control 20 y la unidad de visualización 14 en el modo de funcionamiento seguro se consigue que las lagunas de seguridad eventualmente existentes del primer sistema operativo comercial de la unidad de control 20 no puedan aprovecharse, al menos en el modo de funcionamiento seguro, para la manipulación de la visualización de la unidad de visualización 14. Se logra así un alto grado de seguridad.
La unidad de visualización 14 y el módulo táctil 16 están unidos en una posición de montaje con al menos una parte de carcasa no representada del dispositivo 10. El dispositivo 10 comprende cuatro interruptores 30 a 36 de protección contra desmontaje que se denominan también interruptores de retirada. Si se retiran la unidad de visualización 14 y/o el módulo táctil 16 sacándolos de la posición de montaje, uno de los interruptores 30 a 36 de protección contra desmontaje o varios de estos interruptores 30 a 36 abren entonces un circuito eléctrico previamente cerrado. Debido a la apertura del circuito cerrado el módulo de seguridad 18 detecta la retirada de la unidad de visualización 14 y/o del módulo táctil 16 hacia fuera de la posición de montaje. En una forma de realización alternativa de la invención puede ocurrir también que, al retirar la unidad de visualización 14 y/o el módulo táctil 16 hacia fuera de la posición de montaje, se cierre un circuito previamente abierto por uno o varios de los interruptores 30 a 36 de protección contra desmontaje y el módulo de seguridad 18, en función de la apertura del circuito, detecte la retirada de la unidad de visualización 14 y/o del módulo táctil 16 hacia fuera de la posición de montaje. Se consigue así que puedan detectarse de manera sencilla manipulaciones en la unidad de visualización 14 y/o el módulo táctil 16 y, por tanto, se incrementa la seguridad.
Asimismo, la unidad de visualización 14 comprende un elemento de memoria 38 en el que están almacenados datos para la identificación unívoca de la unidad de visualización 14. Estos datos comprenden especialmente un número de serie unívoco. El módulo de seguridad 18 lee a intervalos de tiempo preajustados o continuamente los datos almacenados en el elemento de memoria 38 y, en función de los datos leídos, determina si está presente o no la unidad de visualización 14. Esto se efectúa especialmente mediante una comparación del número de serie leído en el elemento de memoria 38 con un módulo de serie nominal preajustado almacenado en un elemento de memoria del módulo de seguridad 18 o bien analiza y comprueba de otra manera la validez el módulo de serie leído. Si los dos números se desvían uno de otro o bien el módulo de seguridad 18 no puede leer un número de serie en el elemento de memoria 38, se deduce entonces de esto que la unidad de visualización 14 ha sido retirada de la
10
15
20
25
30
35
40
45
50
55
E11191060
08-04-2015
posición de montaje, se ha cortado el segundo enlace de cable 24, se ha manipulado la unidad de visualización 14 y/o se ha manipulado el segundo enlace de cable 24.
Asimismo, el módulo táctil 16 comprende un elemento de memoria 40 en el que están almacenados datos para la identificación unívoca del módulo táctil 16. El módulo de seguridad 18 lee a intervalos de tiempo preajustados o continuamente los datos del elemento de memoria 40 y, en función de los datos leídos, determina la presencia del módulo táctil 16. Los datos almacenados en el elemento de memoria 40 comprenden especialmente un número de serie del módulo táctil 16. El módulo de seguridad 18 compara este número de serie con un número de serie nominal preajustado almacenado en un elemento de memoria del módulo de seguridad 18. Si la comparación arroja el resultado de que el número de serie y el número de serie nominal no coinciden o bien el módulo de seguridad 18 ni siquiera ha podido leer un número de serie, se deduce entonces de esto que el módulo táctil 16 ha sido retirado de la posición de montaje, se ha manipulado el módulo táctil 16, se ha cortado el primer enlace de cable 22 y/o se ha manipulado el primer enlace de cable 22.
Los elementos de memoria 38, 40 comprenden preferiblemente sendas pastillas electrónicas de número de serie de la firma Maxim Integrated Products Inc. del tipo "DS2401". Los elementos de memoria 38, 40 están unidos con el módulo de seguridad preferiblemente a través de sendos buses de circuito integrado (I2C). Por retirada del módulo táctil 16 o de la unidad de visualización 14 hacia fuera de la posición de montaje se entiende especialmente que se desmonta el módulo táctil 16 o la unidad de visualización 14 o que se varía la posición y/o la orientación dentro del dispositivo 10. Como alternativa o adicionalmente, se puede detectar también con ayuda de sensores de aceleración una retirada de la unidad de visualización 14 y/o del módulo táctil 16 hacia fuera de la posición de montaje.
Si se introduce por un usuario del dispositivo 10 una tarjeta de banda magnética y/o inteligente en la unidad de lectura 12, el módulo de seguridad 18 genera entonces unos primeros datos para representar un teclado de introducción de un número de identificación personal (PIN) del usuario en la unidad de visualización 14. El módulo de seguridad 18 cifra los primeros datos con ayuda de un algoritmo de cifrado preajustado, especialmente con ayuda de un algoritmo de cifrado del estándar de encriptación de datos (DES), y transmite los primeros datos cifrados a la unidad de visualización 14 a través del segundo enlace de cable 24. En la unidad de visualización 14 se representa seguidamente un teclado a través del cual el usuario del dispositivo 10 puede introducir un PIN.
En la figura 2 se ofrece una representación esquemática de un fragmento del dispositivo 10 de la figura 1 según una primera forma de realización de la invención. En esta primera forma de realización el teclado para la introducción del PIN está representado en el centro de la unidad de visualización 14. En la primera forma de realización mostrada en la figura 2 el módulo táctil 16 está configurado de tal manera que toda la pantalla de la unidad de visualización 14 es abarcada por éste, con lo que se puede determinar la posición de un toque en toda la pantalla. Por tanto, en la vista en planta esquemática mostrada en la figura 2 coinciden la unidad de visualización 14 y el módulo táctil 16, por lo que estos se designan por los mismos símbolos de referencia 14, 16. El teclado representado en la unidad de visualización 14 se ha designado con el símbolo de referencia 42.
Para la introducción del PIN el usuario toca el cristal en el sitio en el que está representada la cifra del PIN que debe ser introducida. La posición del toque del cristal es detectada con ayuda del sensor del módulo táctil 16. En particular, el sensor detecta una primera coordenada y una segunda coordenada de la posición del toque del cristal. Una unidad de procesamiento del módulo táctil 16 determina a partir de ello un primer valor de transmisión y un segundo valor de transmisión añadiendo para ello un primer valor de decalaje a la primera coordenada y un segundo valor de decalaje a la segunda coordenada. Los dos valores de decalaje se han transmitido previamente cifrados al módulo táctil 16 por el módulo de seguridad 18 y se han descifrado por la unidad de procesamiento. A continuación, la unidad de procesamiento del módulo táctil 16 genera unos segundos datos con informaciones sobre el primer valor de transmisión y el segundo valor de transmisión, cifra estos segundos datos con un algoritmo de cifrado preajustado, especialmente con ayuda de un algoritmo de cifrado del estándar de encriptación de datos (DES), y transmite los segundos datos cifrados al módulo de seguridad 18 a través del primer enlace de cable 22. El algoritmo de cifrado con el que la unidad de procesamiento cifra los segundos datos es especialmente el mismo algoritmo de cifrado con el que el módulo de seguridad 18 cifra los primeros datos.
Gracias a la transmisión de los valores de transmisión y no de las coordenadas reales del toque se consigue que, si un tercero determinara y descifrara los valores de transmisión, sea imposible con las informaciones obtenidas sacar conclusiones sobre la posición del toque del cristal y, por tanto, sobre la cifra del PIN introducida a través de la posición. Se hace así posible una introducción segura del PIN.
Especialmente, con cada toque del cristal se falsean las coordenadas de este toque por medio de otros valores de decalaje, de modo que mediante la sola comparación de los valores de transmisión con las coordenadas reales no pueden sacarse conclusiones sobre los valores de decalaje para otros toques. Los valores de decalaje se determinan por el módulo de seguridad 18 especialmente con ayuda de un procedimiento aleatorio. En particular, se utiliza para ello un generador de números aleatorios.
El módulo de seguridad 18 descifra los segundos datos cifrados y establece la primera coordenada y la segunda
10
15
20
25
30
35
40
45
50
55
E11191060
08-04-2015
coordenada de la posición del toque del cristal por resta del primer valor de decalaje respecto del primer valor de transmisión y por resta del segundo valor de decalaje respecto del segundo valor de transmisión. Mediante la comparación de la posición del toque del cristal y la posición en la que se visualiza el teclado 42, el módulo de seguridad 18 determina la cifra del PIN introducida por el toque. En una forma de realización alternativa de la invención no puede tampoco transmitirse individualmente cada cifra del PIN del módulo táctil 16 al módulo de seguridad 18, sino que se transmiten datos con informaciones sobre las coordenadas de varios toques que dan como resultado conjuntamente el PIN.
Gracias al cifrado de los segundos datos por el módulo táctil 16 se consigue que estos datos no se transmitan nunca en forma no cifrada, con lo que, aun cuando se capturen los datos no es posible sacar de ellos ninguna conclusión sobre el PIN introducido. Por tanto, se consigue un alto grado de seguridad.
Como se ha descrito anteriormente, el módulo de seguridad 18 puede hacerse funcionar en un modo de funcionamiento inseguro y un modo de funcionamiento seguro. En la unidad de visualización 14 se visualizan especialmente dos elementos de visualización, preferiblemente en forma de lámparas virtuales 44, 46, con cuya ayuda se visualiza en qué modo de funcionamiento se hace que funcione actualmente el dispositivo 10. A este fin, especialmente en el modo de funcionamiento seguro se visualiza la primera lámpara virtual 44 en un tono verde claro y la segunda lámpara virtual 46 en un tono rojo oscuro, y en el modo de funcionamiento inseguro se visualiza la primera lámpara virtual 44 en un tono verde oscuro y la segunda lámpara virtual 46 en un tono rojo claro. Por tanto, se señala la iluminación de una lámpara verde o una lámpara roja, de modo que el usuario sabe que, cuando se ilumina la lámpara verde, el dispositivo 10 se hace funcionar en el modo de funcionamiento seguro y, cuando se ilumina la lámpara roja, se le hace funcionar en el modo de funcionamiento inseguro. Por tanto, el usuario puede cuidar de que introduzca su PIN solamente en el modo de funcionamiento seguro, con lo que queda garantizado el mantenimiento en secreto de su PIN. En una forma de realización especialmente preferida de la invención se invita al usuario, a través de una indicación correspondiente de la unidad de visualización 14, a que introduzca su PIN únicamente cuando el dispositivo se haga funcionar en el modo de funcionamiento seguro.
Adicionalmente o como alternativa, el módulo de seguridad 18 puede activar la unidad de visualización 14 y/o el módulo táctil 16 de tal manera que sea posible una introducción de un PIN únicamente cuando el dispositivo 10 se hace funcionar en el módulo de funcionamiento seguro. A este fin, el módulo de seguridad 18 activa la unidad de visualización 14 especialmente de tal manera que dicha unidad de visualización 14 visualice un teclado solamente cuando el dispositivo 10 se haga funcionar en el modo de funcionamiento seguro.
En una forma de realización alternativa de la invención el modo de funcionamiento puede visualizarse también, como alternativa a las lámparas virtuales 44, 46, por medio de unas lámparas especialmente LEDs, previstas fuera de la unidad de visualización 14. Asimismo, es posible la visualización del modo de funcionamiento en forma de texto sobre la unidad de visualización 14 y/o es también posible la emisión de un tono de aviso cuando el dispositivo 10 se haga funcionar en el modo de funcionamiento inseguro.
Si se determina a través de los interruptores 30 a 36 de protección contra desmontaje y/o los elementos de memoria 38, 40, la inexistencia de la unidad de visualización 14, la inexistencia del módulo táctil 16, una manipulación de la unidad de visualización 14, una manipulación del módulo táctil 16, un corte del primer enlace de cable 22, un corte del segundo enlace de cable 24 y/o un intento de manipulación de otra naturaleza, el módulo de seguridad 18 activa la unidad de visualización 14 de tal manera que se indique a través de ella que el dispositivo 10 se hace funcionar en el módulo de funcionamiento seguro. En particular, en este caso no es posible tampoco la introducción de un PIN.
Asimismo, el dispositivo 10 comprende un elemento 48 de protección antivisión que impida que se espíe la introducción del PIN. El elemento 48 de protección antivisión está configurado especialmente de tal manera que al menos tres lados de la unidad de visualización 14 están rodeados por el elemento 48 de protección antivisión para que otra persona que esté al lado del usuario no tenga visión de la unidad de visualización 14. Se impide así que esta otra persona pueda ver la posición en la que el usuario toca el cristal.
En la figura 3 se muestra una representación esquemática de un fragmento del dispositivo 10 de acuerdo con una segunda forma de realización de la invención. En esta segunda forma de realización de la invención se ha aplicado sobre el cristal una película 50 de protección antivisión mediante la cual se deberá impedir también que se espíe el PIN. La película 50 de protección antivisión está configurada de tal manera que solamente el usuario situado inmediatamente delante del dispositivo 10 puede leer la indicación de la unidad de visualización 14. Por el contrario, una persona situada más lejos o bien una persona situada al lado del usuario no pude leer la indicación de la unidad de visualización 14. Se consigue así que, aun cuando esta otra persona pueda reconocer en qué posición el usuario toca el cristal, esta otra persona no pueda reconocer que tecla se visualiza en ese lugar. Por tanto, esta otra persona no puede espiar el PIN del usuario.
En la figura 4 se muestra una representación esquemática de un fragmento del dispositivo 10 según una tercera forma de realización de la invención. En esta tercera forma de realización de la invención el módulo de seguridad 18 transmite, antes de la introducción del PIN por el usuario, unos terceros datos con informaciones sobre la posición
10
15
20
25
30
35
40
45
E11191060
08-04-2015
en la que se debe visualizar el teclado 42 sobre la unidad de visualización 14. En particular, estos terceros datos comprenden una primera coordenada y una segunda coordenada de un punto preajustado del teclado 42, especialmente el punto medio del teclado 42.
Adicionalmente o como alternativa, se pueden variar también el tamaño del teclado representado, el tamaño de una
o varias teclas del teclado representado y/o las distancias entre las teclas.
El módulo de seguridad 18 determina la posición en la que se debe representar el teclado 42, especialmente con ayuda de un procedimiento aleatorio, de modo que, en el caso de diferentes introducciones del PIN, el teclado se representa en diferentes posiciones de la unidad de visualización 14. Esta representación del teclado 42 en posiciones diferentes de la unidad de visualización 14 se representa en la figura 5. El módulo de seguridad 18 comprende especialmente un generador de números aleatorios que fija las coordenadas y/o el tamaño del teclado
42.
Mediante la visualización del teclado en posiciones diferentes de la unidad de visualización 14 para diferentes introducciones del PIN se incrementa la seguridad de la introducción del PIN. En particular se evita así que una persona que espíe el PIN instale con pretensiones fraudulentas una unidad de determinación de la posición del toque del cristal para determinar así la posición del cristal con independencia del propio módulo táctil 16. Dado que el teclado 42 se visualiza siempre en una posición distinta de la unidad de visualización 14, se tiene que, ni siquiera a partir del conocimiento de las coordenadas reales del toque del cristal, la persona espía puede sacar conclusiones sobre la cifra introducida por el toque y, por tanto, sobre el PIN.
Gracias a las medidas de seguridad anteriormente descritas se consigue, individualmente y, en particular, en su combinación, un alto grado de introducción segura de un PIN a través de una pantalla táctil. Por tanto, las pantallas táctiles que están previstas en cajeros automáticos, cajas fuertes automáticas, sistemas de caja automáticos, terminales de pagos, impresoras de extractos de cuentas y/o terminales de información y que se utilizan hasta ahora únicamente para el manejo y la introducción de informaciones no relevantes para la seguridad, pueden utilizarse ya también para la introducción del PIN. Por tanto, se puede prescindir de la previsión de un teclado mecánico separado, especialmente un teclado EPP, con lo que se consigue una construcción sencilla y barata del dispositivo
10. Se incrementa así también la facilidad de manejo para el usuario y se reduce el gasto de mantenimiento.
Lista de símbolos de referencia
10 Dispositivo 12 Unidad de lectura 14 Unidad de visualización 16 Módulo táctil 18 Módulo de seguridad 20 Unidad de control 22,24 Enlace de cable 26 Enlace de transmisión de datos 28 Interruptor DVI 30 a 36 Interruptor de protección contra desmontaje 38,40 Elemento de memoria 42 Teclado 44,46 Lámpara virtual 48 Elemento de protección antivisión 50 Película de protección antivisión

Claims (11)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    REIVINDICACIONES
    1. Dispositivo para leer tarjetas de banda magnética y/o inteligentes, especialmente tarjetas bancarias, tarjetas EC y/o tarjetas de crédito, que comprende
    una unidad de visualización (14),
    un módulo táctil (16) que está dispuesto delante de la unidad de visualización (14) y que comprende al menos un sensor para detectar una posición de un toque de una zona de visualización,
    y un módulo de seguridad (18) para controlar la unidad de visualización (14) y el módulo táctil (16), transmitiendo el módulo de seguridad (18) a la unidad de visualización (14) unos primeros datos para representar un teclado (42) con ayuda de la unidad de visualización (14) para introducir un número de identificación personal (PIN),
    generando el módulo táctil (16), en respuesta al toque de la unidad de visualización, unos segundos datos con informaciones sobre la posición del toque y
    cifrando el módulo táctil (16) los segundos datos y transmitiendo estos segundos datos cifrados al módulo de seguridad (18),
    caracterizado por que
    el módulo de seguridad (18) determina si el dispositivo (10) se hace funcionar en un modo de funcionamiento seguro
    o en un modo de funcionamiento inseguro, y
    por que el módulo de seguridad (18) activa la unidad de visualización (14) de tal manera que está unidad de visualización (14) indique en qué estado de funcionamiento se hace funcionar el dispositivo (10), o por que se indica el modo de funcionamiento a través de una lámpara dispuesta fuera de la unidad de visualización, o por que se efectúa la emisión del modo de funcionamiento a través de un tono de aviso.
  2. 2.
    Dispositivo (10) según la reivindicación 1, caracterizado por que el módulo de seguridad (18) cifra los primeros datos y los transmite en forma cifrada a la unidad de visualización (14).
  3. 3.
    Dispositivo (10) según cualquiera de las reivindicaciones anteriores, caracterizado por que el módulo táctil (16) determina una primera coordenada y/o una segunda coordenada de la posición del toque de la zona de visualización, por que el módulo táctil (16) determina un primer valor de transmisión por adición de un primer valor de decalaje a la primera coordenada y/o un segundo valor de transmisión por adición de un segundo valor de decalaje a la segunda coordenada, y por que los segundos datos comprenden informaciones sobre el primer valor de transmisión y/o el segundo valor de transmisión.
  4. 4.
    Dispositivo (10) según la reivindicación 3, caracterizado por que el módulo de seguridad (18) determina el primer valor de decalaje y/o el segundo valor de decalaje, especialmente con ayuda de un generador de números aleatorios, y por que el módulo de seguridad (18) transmite al módulo táctil (16), preferiblemente en forma cifrada, antes del toque de la zona de visualización, unos terceros datos con informaciones sobre el primer valor de decalaje y/o el segundo valor de decalaje.
  5. 5.
    Dispositivo (10) según cualquiera de las reivindicaciones anteriores, caracterizado por que el módulo de seguridad (18) cifra los primeros datos y/o los terceros datos con ayuda de una algoritmo de cifrado archivado, especialmente con ayuda de un algoritmo de cifrado del estándar de encriptación de datos (DES), y/o por que el módulo táctil (16) cifra los segundos datos con ayuda de un algoritmo de cifrado archivado, especialmente con ayuda de un algoritmo de cifrado del estándar de encriptación de datos (DES).
  6. 6.
    Dispositivo (10) según cualquiera de las reivindicaciones 3 a 5, caracterizado por que el módulo de seguridad
    (18) descifra los segundos datos y determina la primera coordenada por resta del primer valor de decalaje respecto del primer valor de transmisión y/o la segunda coordenada por resta del segundo valor de decalaje respecto del segundo valor de transmisión.
  7. 7.
    Dispositivo (10) según cualquiera de las reivindicaciones anteriores, caracterizado por que los primeros datos comprenden informaciones sobre la posición en la que debe visualizarse el teclado (42) sobre la unidad de visualización (14), especialmente una primera coordenada y una segunda coordenada de un punto medio del teclado (42).
  8. 8.
    Dispositivo (10) según la reivindicación 7, caracterizado por que el módulo de seguridad (18) fija la posición del teclado (42) con ayuda de un procedimiento aleatorio.
  9. 9.
    Dispositivo (10) según la reivindicación 7 u 8, caracterizado por que el módulo de seguridad (18) activa la unidad de visualización (14) de tal manera que esta unidad de visualización (14), al producirse una primera introducción de
    11
    un número de identificación personal (PIN), visualice el teclado (42) en una primera posición y, al producirse una segunda introducción del número de identificación personal (PIN), visualice dicho teclado en una segunda posición diferente de la primer aposición.
  10. 10. Dispositivo (10) según cualquiera de las reivindicaciones anteriores, caracterizado por que el módulo táctil (16)
    5 y el módulo de seguridad (18) están unidos uno con otro a través de un primer enlace de cable (22), especialmente con ayuda de un cable USB, y/o la unidad de visualización (14) y el módulo de seguridad (18) están unidos entre ellos a través de un segundo enlace de cable (24), especialmente con ayuda de un cable USB y/o un cable DVI, y por que están previstos un primer sensor para detectar una interrupción del primer enlace de cable (22) y/o un segundo sensor para detectar una interrupción del segundo enlace de cable (24).
    10 11. Dispositivo (10) según cualquiera de las reivindicaciones anteriores, caracterizado por que el módulo táctil (16) y/o la unidad de visualización (14) comprenden un respectivo elemento de memoria (38, 40) en el que están almacenados datos para la identificación unívoca del módulo táctil (16) o de la unidad de visualización (14), y por que el módulo de seguridad (18) lee estos datos a intervalos de tiempo preajustados o continuamente y, en función de los datos leídos, determina la presencia del módulo táctil (16) o de la unidad de visualización (14).
    15 12. Dispositivo (10) según cualquiera de las reivindicaciones anteriores, caracterizado por que el módulo táctil (16) y/o la unidad de visualización (14) están montados en una posición de montaje dentro una parte de carcasa del dispositivo (10), por que están previstos al menos un primer interruptor (30 a 36) de protección contra desmontaje y/o un segundo interruptor (30 a 36) de protección contra desmontaje, por que el primer interruptor (30 a 36) de protección contra desmontaje, cuando se retira el módulo táctil (16) de la posición de montaje, cierra un circuito
    20 eléctrico abierto en la posición de montaje o abre un circuito eléctrico cerrado en la posición de montaje, y por que el módulo de seguridad (18) detecta, por el cierre o la apertura del circuito, la retirada del módulo táctil (16) hacia fuera de la posición de montaje, por que el segundo interruptor (30 a 36) de protección contra desmontaje, cuando se retira la unidad de visualización (14) de la posición de montaje, cierra un circuito eléctrico abierto en la posición de montaje o abre un circuito eléctrico cerrado en la posición de montaje, y por que el módulo de seguridad (18)
    25 detecta, por el cierre o la apertura del circuito, la retirada de la unidad de visualización (14) desde la posición de montaje.
  11. 13. Dispositivo (10) según cualquiera de las reivindicaciones anteriores, caracterizado por que el dispositivo (10) comprende una unidad de control (20) para controlar el módulo de seguridad (18) y por que la unidad de control (20) está unida con el módulo de seguridad (18) a través de al menos un enlace (26) de transmisión de datos.
    30
    12
ES11191060.0T 2010-11-29 2011-11-29 Dispositivo para leer tarjetas de banda magnética y/o inteligentes con pantalla táctil para la introducción del PIN Active ES2534591T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102010060862 2010-11-29
DE102010060862A DE102010060862A1 (de) 2010-11-29 2010-11-29 Vorrichtung zum Lesen von Magnetstreifen- und/oder Chipkarten mit Touchscreen zur PIN-Eingabe

Publications (1)

Publication Number Publication Date
ES2534591T3 true ES2534591T3 (es) 2015-04-24

Family

ID=45002835

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11191060.0T Active ES2534591T3 (es) 2010-11-29 2011-11-29 Dispositivo para leer tarjetas de banda magnética y/o inteligentes con pantalla táctil para la introducción del PIN

Country Status (4)

Country Link
US (1) US8579190B2 (es)
EP (2) EP2458491B1 (es)
DE (1) DE102010060862A1 (es)
ES (1) ES2534591T3 (es)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201212878D0 (en) 2012-07-20 2012-09-05 Pike Justin Authentication method and system
GB201300923D0 (en) * 2013-01-18 2013-03-06 Licentia Group Ltd Verification method and system
EP2775421B1 (en) * 2013-03-05 2019-07-03 Wincor Nixdorf International GmbH Trusted terminal platform
EP2797057B1 (de) 2013-04-23 2019-07-17 Wincor Nixdorf International GmbH Vorrichtung zum lesen von Magnetstreifen- und/oder Chipkarten und Verfahren zum vermeiden von Skimmingangriffen
CN105229656B (zh) * 2013-04-30 2018-09-07 微软技术许可有限责任公司 光学安全性增强设备
US9418215B2 (en) * 2013-04-30 2016-08-16 Microsoft Technology Licensing, Llc Optical security enhancement device
US9514316B2 (en) * 2013-04-30 2016-12-06 Microsoft Technology Licensing, Llc Optical security enhancement device
MX346543B (es) * 2013-05-13 2017-03-24 Skimprot Ltd Liability Company Banda de proteccion para tarjetas bancarias.
PL407693A1 (pl) * 2014-03-28 2015-10-12 Michał Waluś Sposób oraz układ aktywnego zabezpieczenia antyskimmingowego zwłaszcza urządzeń takich jak bankomaty, wypłatomaty, opłatomaty, paczkomaty, maszyny vendingowe
JP5943359B2 (ja) * 2014-11-05 2016-07-05 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation パスワードを検証するシステム、方法およびプログラム
FR3029313B1 (fr) * 2014-12-01 2017-01-13 Compagnie Ind Et Financiere Dingenierie Ingenico Procede de detection d'une deconnexion du connecteur principal d'un terminal de paiement electronique, produit programme d'ordinateur, moyen de stockage et terminal de paiement correspondants
GB201520760D0 (en) 2015-05-27 2016-01-06 Mypinpad Ltd And Licentia Group Ltd Encoding methods and systems
US10915668B2 (en) 2016-03-02 2021-02-09 Cryptera A/S Secure display device
US10073538B2 (en) 2016-04-11 2018-09-11 International Business Machines Corporation Assessment of a password based on characteristics of a physical arrangement of keys of a keyboard
US11113380B2 (en) 2016-07-15 2021-09-07 Irdeto B.V. Secure graphics
US20180150838A1 (en) * 2016-11-28 2018-05-31 Yello Company Limited Electronic payment acceptance device
EP3370180B1 (en) 2017-03-03 2020-11-04 Verifone, Inc. Increased security in authentication code entry for touch-sensitive screen enabled devices
TWI648693B (zh) * 2017-07-25 2019-01-21 神雲科技股份有限公司 Touch computer device for financial transaction payment and management method thereof
GB201916441D0 (en) * 2019-11-12 2019-12-25 Mypinpad Ltd Computer-implemented system and method

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4494114B1 (en) * 1983-12-05 1996-10-15 Int Electronic Tech Security arrangement for and method of rendering microprocessor-controlled electronic equipment inoperative after occurrence of disabling event
US5970146A (en) 1996-05-14 1999-10-19 Dresser Industries, Inc. Data encrypted touchscreen
US5768386A (en) * 1996-05-31 1998-06-16 Transaction Technology, Inc. Method and system for encrypting input from a touch screen
DE19807066A1 (de) * 1998-02-20 1999-09-09 Messerschmid Sicherungseinrichtung zum globalen Schutz von Gegenständen mit elektronischen Komponenten
US6317835B1 (en) 1998-12-23 2001-11-13 Radiant Systems, Inc. Method and system for entry of encrypted and non-encrypted information on a touch screen
US6630928B1 (en) * 1999-10-01 2003-10-07 Hewlett-Packard Development Company, L.P. Method and apparatus for touch screen data entry
US7392937B1 (en) * 1999-12-03 2008-07-01 Diebold, Incorporated Card reading arrangement involving robotic card handling responsive to card sensing at a drive-up automated banking machine
US6543684B1 (en) * 2000-03-28 2003-04-08 Ncr Corporation Transaction terminal with privacy shield for touch-screen pin entry
US6676016B1 (en) * 2000-05-04 2004-01-13 Ncr Corporation Retail terminal configured as consumer gateway to electronic billing application
JP2002222989A (ja) * 2001-01-26 2002-08-09 Toshiba Corp 半導体発光素子
DE10150631C5 (de) * 2001-10-12 2014-04-10 Jungheinrich Aktiengesellschaft Flurförderzeug mit Schnittstelle für Diagnosedaten
US7392396B2 (en) * 2002-03-07 2008-06-24 Symbol Technologies, Inc. Transaction device with noise signal encryption
US6669100B1 (en) * 2002-06-28 2003-12-30 Ncr Corporation Serviceable tamper resistant PIN entry apparatus
US20040179692A1 (en) * 2003-03-11 2004-09-16 David Cheng Personal data entry and authentication device
DE102004031677A1 (de) * 2004-06-30 2006-01-26 Giesecke & Devrient Gmbh Gerät mit einem Bildschirm
CN1855005A (zh) * 2005-04-26 2006-11-01 金宝电子工业股份有限公司 电子装置的登入系统
DE102006031389A1 (de) * 2006-07-07 2008-01-10 Danfoss Bauer Gmbh Anschlußleitung
US8970501B2 (en) * 2007-01-03 2015-03-03 Apple Inc. Proximity and multi-touch sensor detection and demodulation
DE102008014324A1 (de) 2008-03-14 2009-09-17 Wincor Nixdorf International Gmbh Selbstbedienungsgerät
DE102008021046A1 (de) 2008-04-26 2009-10-29 Wincor Nixdorf International Gmbh Verfahren zur Inbetriebnahme einer Tastatur eines Selbstbedienungsterminals
US20100031045A1 (en) * 2008-07-30 2010-02-04 Lakshmi Narasimham Gade Methods and system and computer medium for loading a set of keys
US7980464B1 (en) * 2008-12-23 2011-07-19 Bank Of America Corporation Bank card fraud protection system
US8552957B2 (en) * 2009-02-02 2013-10-08 Apple Inc. Liquid crystal display reordered inversion
CN101813992A (zh) * 2010-05-07 2010-08-25 深圳视融达科技有限公司 一种触摸屏及其密码输入方法

Also Published As

Publication number Publication date
EP2458491A2 (de) 2012-05-30
EP2840480B1 (de) 2018-03-07
EP2458491A3 (de) 2013-04-10
EP2840480A1 (de) 2015-02-25
US20120132705A1 (en) 2012-05-31
DE102010060862A1 (de) 2012-05-31
EP2458491B1 (de) 2015-01-28
US8579190B2 (en) 2013-11-12

Similar Documents

Publication Publication Date Title
ES2534591T3 (es) Dispositivo para leer tarjetas de banda magnética y/o inteligentes con pantalla táctil para la introducción del PIN
JP6797965B2 (ja) セキュア・モバイル・ユーザ・インターフェースおよびモバイル装置ケース
US7997503B2 (en) Visual code transaction verification
CN101667064B (zh) 防窥视防盗取的安全键盘
JP2015215687A (ja) 可搬型決済端末装置
US20080258940A1 (en) Apparatus and method for preventing password theft
US9472036B2 (en) Method for verifying documents and device implementing such a method
KR102178179B1 (ko) 모바일 신분증 관리 장치 및 사용자 단말기
US10657514B2 (en) Settlement terminal device
CA2798626A1 (en) Biometric banking machine apparatus, system, and method
ES2588996T3 (es) Dispositivo para lectura de una tarjeta de chip y procedimiento para la detección de un módulo de Skimming
JP2017117056A (ja) 取引端末装置および情報入力装置
JP2020067838A (ja) 入出力装置及び自動取引装置
JP5495436B2 (ja) 暗証番号入力装置、自動取引装置及び暗証番号入力方法
JP3120388U (ja) Atm用盗撮防止装置
KR20060015634A (ko) 데이터 제공 방법, 데이터 수신 단말, 가입자 서비스용시스템 및 스마트카드
KR20150045699A (ko) 보안 기능이 강화된 가상 키패드 생성 장치
JP2015191434A (ja) 表示装置、入力装置、および自動販売機
CN108230578A (zh) 一种防窥系统、金融自助终端及防窥方法
JPH04315249A (ja) 個人認証装置
KR200402102Y1 (ko) 현금자동지급기의 버튼조작 노출 방지용 커텐
GB2444285A (en) Keypad with random key layout
JP2008158739A (ja) 現金自動取引装置
JP6454175B2 (ja) 可搬型決済端末装置
JP5620599B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び記録媒体