ES2688838T3 - Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, tarjeta, terminal y programa correspondientes - Google Patents

Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, tarjeta, terminal y programa correspondientes Download PDF

Info

Publication number
ES2688838T3
ES2688838T3 ES15767170.2T ES15767170T ES2688838T3 ES 2688838 T3 ES2688838 T3 ES 2688838T3 ES 15767170 T ES15767170 T ES 15767170T ES 2688838 T3 ES2688838 T3 ES 2688838T3
Authority
ES
Spain
Prior art keywords
card
electronic payment
suspicious
detection
operations
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15767170.2T
Other languages
English (en)
Inventor
David Naccache
Laurent MAYER
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Worldline MS France
Original Assignee
Ingenico Group SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ingenico Group SA filed Critical Ingenico Group SA
Application granted granted Critical
Publication of ES2688838T3 publication Critical patent/ES2688838T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Abstract

Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, caracterizado por comprender las siguientes etapas, puestas en práctica por dicha tarjeta: - detección (10) de una secuencia de operaciones sospechosas puestas en práctica en interacción con dicha tarjeta, que comprende la detección de una secuencia de operaciones que no se corresponde con una secuencia predeterminada de operaciones que permiten la realización completa de una transacción bancaria, y memorización (11), en dicha tarjeta, de un estado correspondiente, llamado estado sospechoso; - interacción (12) de dicha tarjeta con una entidad diferenciada, correspondiente a un terminal de pago electrónico, y autenticación (12), por parte de dicha tarjeta, de dicha entidad diferenciada, correspondiéndose la autenticación con una etapa de puesta en práctica de una transacción completa por intermedio de dicho terminal de pago electrónico; - comunicación (13), por parte de dicha tarjeta, de dicho estado sospechoso memorizado a dicha entidad diferenciada autenticada correspondiente a dicho terminal de pago electrónico.

Description

5
10
15
20
25
30
35
40
45
50
DESCRIPCION
Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, tarjeta, terminal y programa correspondientes
1. Campo de la invención
La invención se refiere al ámbito del pago electrónico y, más en particular, a la mejora de la seguridad en las tarjetas electrónicas de pago.
2. Técnica anterior
Las tarjetas de pago son objeto de numerosos intentos de ataque. Y es que por la índole de la información que contiene y la sensibilidad de los datos que permite procesar, la tarjeta electrónica de pago es un objeto que posee un gran valor para personas malintencionadas.
Hay un cierto tipo de fraude que está tendiendo a desarrollarse: se trata del “skimming”, operación fraudulenta que consiste, en primer lugar, en efectuar una copia de la banda magnética de la tarjeta con el concurso de un dispositivo especial, sin que se dé cuenta el tenedor de la tarjeta, por ejemplo cuando se inserta la tarjeta en un cajero automático. A continuación, estos datos son trasladados a una tarjeta virgen para una ulterior utilización. Paralelamente, los autores de fraude han recuperado asimismo el código confidencial tecleado por el tenedor de la tarjeta, por ejemplo con el concurso de una cámara oculta o de un dispositivo ubicado sobre o bajo el teclado del cajero automático.
Así, una vez en poder de la tarjeta falsificada y del código confidencial, los autores de fraude pueden efectuar transacciones o incluso acceder a la cuenta bancaria del usuario. Y como el usuario no se ha dado cuenta de nada y sigue estando en poder de la tarjeta original, no es sino a la hora de consultar el saldo de su cuenta cuando se dará cuenta de que es víctima de estafa.
De este modo, para piratear y clonar una tarjeta bancaria, un autor de fraude necesita dos tipos de información: los datos almacenados en la tarjeta (datos bancarios) y el código confidencial personal de 4 dígitos.
Una solución para luchar contra este tipo de fraude consiste en tratar de detectar los dispositivos pirateados, como los cajeros automáticos, por ejemplo informando a los usuarios de manera precisa para que puedan reconocer cuándo ha sido pirateado un cajero (por ejemplo, cuando la ranura de inserción de la tarjeta parece sospechosa). Esta solución, en cambio, no es muy eficaz, por cuanto que los autores de fraude cada vez tienen más cuidado para no ser detectados.
Consiste otra solución, que igualmente ha de llevar a la práctica el usuario, en tener más cuidado al teclear un código confidencial, poniendo la mano por encima del teclado, por ejemplo, en orden a frustrar una parte del pirateo basada en la cámara que graba el tecleo del código. De la misma manera, esta solución no es muy eficaz, por cuanto que el usuario no sabe dónde se encuentra esta cámara y por cuanto que no todos los usuarios se acuerdan de tomar este tipo de precauciones. El documento D1: EP 2085921A1 (INTeLlIGENT WAVE INC [JP]) describe la detección de un posible fraude mediante una tarjeta electrónica y la solicitud de la aprobación de una transacción a un ordenador perteneciente a una unidad bancaria antes de efectuar dicha transacción. Por lo tanto, las técnicas existentes se ciñen a la detección de dispositivos pirateados o a la vigilancia de los usuarios para frustrar tales fraudes.
Existe, por tanto, una necesidad de proporcionar una técnica que permita detectar un fraude / intento de fraude por modificación de una tarjeta bancaria de un usuario y que permita precaverse de los perjuicios de tal fraude.
3. Sumario de la invención
La invención propone una novedosa solución que no presenta el conjunto de estos inconvenientes de la técnica anterior, en forma de un procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, según las reivindicaciones independientes 1, 5, 6 y 7. De este modo, se propone una solución novedosa e inventiva de la detección de fraude sobre la tarjeta bancaria que pone en práctica el pirateo, especialmente mediante copia de los datos de una tarjeta bancaria (así como la obtención del correspondiente código confidencial), basada en la autodetección, por la propia tarjeta, de un intento de pirateo.
Para conseguir esto, la propia tarjeta bancaria detecta que unas operaciones puestas en práctica por el autor de fraude (consistentes en leer los datos de la tarjeta sin llevar a la práctica, con todo, una transacción completa) son sospechosas y memoriza un estado particular representativo de un intento de pirateo.
A continuación, cuando es utilizada la misma tarjeta por un dispositivo auténtico, la tarjeta comunica su estado sospechoso, al objeto de que se alerte al usuario de la tarjeta o del dispositivo.
De esta manera, si el usuario no ha detectado el dispositivo fraudulento (por ejemplo, un cajero automático modificado) que permite un pirateo de su tarjeta bancaria mediante copia de los datos de la tarjeta y obtención, por
5
10
15
20
25
30
35
40
45
50
intermedio de una cámara, de su código confidencial al teclearlo, la solución que se propone permite detectar este pirateo ya desde la siguiente utilización de la tarjeta pirateada.
El usuario queda entonces informado de que su tarjeta está pirateada y de que tiene que ponerse en contacto con su banco para bloquearla e impedir ulteriores usos fraudulentos.
Por lo tanto, la solución que se propone no está basada, a diferencia de las poco eficaces técnicas preventivas de la técnica anterior, en la detección de dispositivos modificados para permitir un pirateo, sino que está basada en la autodetección, por la propia tarjeta, de un intento de pirateo o de un pirateo llevado a efecto.
De acuerdo con una característica particular de la invención, la etapa de detección de una secuencia de operaciones sospechosas comprende la detección de una secuencia de operaciones que no se corresponden con una secuencia predeterminada de operaciones que permiten la realización completa de una transacción bancaria.
De este modo, de acuerdo con esta forma particular de realización, la propia tarjeta bancaria detecta que las operaciones puestas en práctica por el autor de fraude no se corresponden con una secuencia completa de operaciones necesarias para la realización de una transacción, por lo que son sospechosas.
En efecto, todas las operaciones autorizadas para una tarjeta de pago electrónico son conocidas y normalizadas, y permiten especialmente la finalización de una transacción. De este modo, cuando sólo se ponen en práctica algunas de las operaciones pertenecientes a una secuencia de transacción, la tarjeta puede detectar un comportamiento anómalo y, por tanto, memorizar un estado sospechoso, representativo de un intento de pirateo.
Por ejemplo, la entidad diferenciada se corresponde con un terminal de pago electrónico, y la etapa de autenticación se corresponde con una etapa de puesta en práctica de una transacción completa por intermedio del terminal de pago electrónico.
De este modo, de acuerdo con esta forma particular de realización, la propia tarjeta bancaria es capaz de autenticar una entidad diferenciada, por ejemplo un terminal de pago electrónico.
En efecto, cuando se pone en práctica una transacción completa, en un terminal de pago electrónico, con la tarjeta, la misma infiere que el terminal de pago electrónico es auténtico y que puede comunicarle su estado particular (memorizado previamente) representativo de un intento de fraude, para alertarlo.
De este modo, cuando se utiliza la tarjeta previamente pirateada, como es convencional, para una transacción completa por intermedio de un terminal de pago electrónico auténtico, la tarjeta, todavía inserta en el terminal de pago electrónico, desencadena la comunicación de su estado sospechoso hacia el terminal de pago electrónico.
De acuerdo con un aspecto particular, la etapa de detección es segura y la memorización del estado sospechoso queda garantizada cualesquiera que sean las operaciones puestas en práctica.
De este modo, de acuerdo con esta forma particular de realización, la tarjeta bancaria puede detectar una secuencia de operaciones sospechosas, cualesquiera que sean estas operaciones, inclusive si estas incluyen una reposición a cero de ciertos datos de la tarjeta.
En efecto, la memorización del estado sospechoso interesa a una zona protegida de la memoria de la tarjeta.
Por ejemplo, la etapa de comunicación comprende una subetapa de transmisión de al menos un comando de presentación de un mensaje de alerta en una pantalla de la entidad diferenciada.
De este modo, de acuerdo con esta forma particular de realización, la comunicación de su estado sospechoso por parte de la tarjeta permite, por ejemplo, presentar directamente una alerta en la pantalla del terminal de pago electrónico en el que está inserta la tarjeta, o con el cual la tarjeta ha puesto en práctica la transacción completa.
De esta manera, el usuario portador de la tarjeta pirateada y/o el comerciante poseedor del terminal de pago electrónico puede visualizar el mensaje de alerta y, así, ser informado de un posible intento de pirateo de la tarjeta.
De acuerdo con una característica particular de la invención, el procedimiento comprende una etapa de procesamiento, en la entidad diferenciada, del estado sospechoso comunicado por la tarjeta.
De este modo, según esta forma particular de realización, la entidad autenticada que haya recibido el estado representativo de un intento de fraude por parte de la tarjeta pone en práctica una etapa de procesamiento de este estado, con el fin de alertar, por ejemplo, al portador de la tarjeta, o bien al usuario de la entidad autenticada (el comerciante que utiliza un terminal de pago electrónico).
Por ejemplo, el procesamiento del estado conlleva la presentación de un mensaje de alerta en una pantalla de la entidad autenticada, o también genera la emisión de una señal sonora de alerta.
De acuerdo con otro ejemplo, este procesamiento consiste en emitir un mensaje con destino a un servidor remoto
5
10
15
20
25
30
35
40
45
50
(por ejemplo, el servidor bancario con el que se ha efectuado la transacción anterior), informando a continuación este servidor, directamente al portador de la tarjeta o al usuario de la entidad autenticada, del intento de fraude sobre la tarjeta.
4. Figuras
Otras características y ventajas de la invención se pondrán más claramente de manifiesto con la lectura de la siguiente descripción de una forma preferente de realización, dada a título de mero ejemplo ilustrativo y no limitativo, y de los dibujos que se acompañan, de los que:
- la figura 1 presenta un sinóptico de la técnica propuesta, según una forma particular de realización;
- la figura 2 presenta un diagrama de secuencias de la técnica propuesta, según una forma particular de realización;
- las figuras 3a y 3b presentan dos ejemplos de una tarjeta de pago electrónico según una forma particular de realización de la técnica propuesta; y
- la figura 4 presenta un ejemplo de un terminal de pago según una forma particular de realización de la técnica propuesta.
5. Descripción
5.1. Principio general
El principio general de la técnica propuesta, descrito en relación con las figuras 1 y 2, está basado en la autodetección, por parte de una tarjeta de pago electrónico, de un fraude o intento de fraude sobre esta tarjeta y en la memorización, por parte de la tarjeta, de un estado sospechoso, en vistas a su ulterior comunicación a una entidad diferenciada previamente autenticada.
De este modo, la tarjeta de pago electrónico es capaz de detectar interacciones sospechosas entre una entidad diferenciada y ella misma, y de memorizar una situación/estado sospechoso relativo a las mismas. A continuación, cuando la tarjeta es utilizada en una entidad que es capaz de autenticar, la tarjeta comunica a esta entidad su estado sospechoso, al objeto de alertar a uno o varios usuarios del intento de fraude (o del fraude llevado a efecto).
Para conseguir esto, la tarjeta de pago electrónico comprende medios específicos, según las diferentes formas de realización que seguidamente se describen.
5.2. Descripción de formas de realización
Se describen a continuación, en relación con la figura 1, las etapas principales del procedimiento de autodetección puestas en práctica en una tarjeta de pago electrónico. La primera etapa de detección 10 consiste en detectar, por parte de la propia tarjeta, una secuencia de operaciones / interacciones sospechosas, por ejemplo cuando se inserta esta tarjeta en un terminal de pago electrónico, un accesorio de pago o un expendedor automático de billetes.
Por ejemplo, esta secuencia de operaciones que se estiman sospechosas se corresponde con una parte sola de las operaciones predeterminadas (por ejemplo, las etapas de una transacción según están definidas por la norma EMV, por “Europay Mastercard Visa”) necesarias para la puesta en práctica de una transacción bancaria. De este modo, la tarjeta de pago electrónico según esta forma de realización de la invención detecta una secuencia sospechosa cuando se detecta una parada en una cualquiera de las etapas predeterminadas obligatorias. Una secuencia de este tipo considerada como sospechosa conlleva la memorización, en una etapa 11, por parte de la propia tarjeta, de un estado sospechoso.
Por ejemplo, esta memorización 11 consiste en modificar un bit de estado en una parte específica de la memoria del chip electrónico de la tarjeta, o en memorizar una sucesión particular de bits (correspondiente a comandos que habrá de ejecutar el dispositivo receptor de esta sucesión de bits, por ejemplo) en una parte específica de la memoria del chip electrónico de la tarjeta.
De acuerdo con esta forma particular de realización, la memorización del estado sospechoso de la tarjeta es posible siempre, cualesquiera que sean las operaciones puestas en práctica sobre la tarjeta. De este modo, si el fraude consiste en copiar y borrar seguidamente la totalidad o parte de la memoria de la tarjeta, la zona de memorización del estado sospechoso es guardada por copia de seguridad. Por ejemplo, esta memorización se efectúa en una zona específica de la memoria no accesible a un eventual autor de fraude, o no borrable.
Esta forma de realización constituye solamente un ejemplo de realización, no limitativo, y resulta obvio que cabe contemplar otras abundantes formas de realización de la invención para memorizar el estado mediante la tarjeta.
Una vez memorizado el estado, la tarjeta de pago electrónico puede comunicarlo entonces, en su caso, a cualquier dispositivo de confianza, al objeto de alertar a un usuario, por ejemplo el portador de la tarjeta, del fraude o intento de fraude.
5
10
15
20
25
30
35
40
45
50
Por ejemplo, cuando es utilizada la tarjeta de pago electrónico, tras el intento de pirateo, por un usuario, en un terminal de pago electrónico o un expendedor automático de billetes, la tarjeta comunica su estado sospechoso, en el momento mismo en que está en condiciones de autenticar el dispositivo en cuestión.
Para conseguir esto, la tarjeta, cuando vuelve a estar en interacción con una entidad diferenciada, pone en práctica una etapa de autenticación 12 de esta entidad, con el fin de poder a continuación, en una etapa 13, comunicarle su estado sospechoso.
Por ejemplo, cuando la tarjeta detecta esta vez que se pone en práctica una transacción bancaria completa con la entidad diferenciada, esta última es considerada como auténtica por la tarjeta. En efecto, un terminal de pago electrónico, o un expendedor automático de billetes, que permite una transacción bancaria completa puede ser considerado por la tarjeta de pago electrónico como auténtico y de confianza. Tal entidad autenticada permite además la comunicación del estado sospechoso de la tarjeta, e incluso una alerta inmediata por intermedio de los medios de presentación visual de esta entidad.
De este modo, en la utilización de la tarjeta bancaria (para una transacción en un terminal de pago electrónico o una retirada de dinero en un expendedor automático de billetes), la tarjeta de pago electrónico pirateada “aprovecha” su interacción con una entidad diferenciada a la que estima auténtica para comunicar su estado sospechoso (memorizado anteriormente en el momento de un pirateo o un intento de pirateo).
A continuación, la entidad diferenciada que ha recibido esta comunicación de estado sospechoso de la tarjeta de pago electrónico pone en práctica una o varias etapas que permiten tomar en consideración este estado sospechoso para emitir una alerta.
Por ejemplo, la recepción del estado sospechoso con origen en la tarjeta desencadena automáticamente la presentación visual, por unos medios de recuperación de la entidad diferenciada (la pantalla de un terminal de pago electrónico), de un mensaje de alerta indicativo de que la tarjeta ha sufrido un intento de pirateo o un pirateo y de que debe ser verificada.
De acuerdo con otro ejemplo, la lectura del estado sospechoso comunicado desencadena la ejecución de uno o varios comandos que permiten la presentación visual, por unos medios de recuperación de la entidad diferenciada, de un mensaje de alerta indicativo de que la tarjeta ha sufrido un intento de pirateo o un pirateo y de que debe ser verificada.
De acuerdo con un ejemplo más, la lectura del estado sospechoso comunicado desencadena la ejecución de uno o varios comandos que permiten la transmisión, por la entidad diferenciada, a un servidor remoto (por ejemplo, el servidor de la entidad bancaria emisora de la tarjeta) o un dispositivo previamente identificado (por ejemplo, el teléfono móvil del portador de la tarjeta), de una alerta, al objeto de informar a un usuario previamente identificado (el portador de la tarjeta, por ejemplo).
Las etapas antes descritas también están ilustradas en la figura 2, en forma de un diagrama de secuencias en el que intervienen un dispositivo pirateado 22, la tarjeta de pago electrónico 20 objeto de la invención y una entidad diferenciada autenticada 21.
De acuerdo con una forma particular de realización, la tarjeta de pago electrónico 20 detecta una secuencia de operaciones sospechosas, en interacción con un dispositivo 22 (por ejemplo, un expendedor automático de billetes pirateado). Por ejemplo, la tarjeta detecta que sólo se ponen en práctica algunas de las etapas necesarias para la puesta en práctica de una transacción bancaria, e infiere que está sufriendo un pirateo o un intento de pirateo. Entonces memoriza un estado particular llamado “sospechoso”, con el fin de poder a continuación, lo antes posible, comunicar este estado a una entidad apta para alertar de este intento de pirateo.
De este modo, cuando la tarjeta 20 entra nuevamente en interacción con una entidad diferenciada 21 (un expendedor automático de billetes, un terminal de pago electrónico, un accesorio de pago, ...), se asegura de su autenticidad para comunicarle seguidamente su estado sospechoso.
Por ejemplo, la tarjeta 20 deduce que el terminal de pago electrónico 21 en el que está inserta es auténtico cuando se ha llevado a la práctica una transacción bancaria completa, es decir, cuando se han efectuado todas las etapas / operaciones predeterminadas necesarias para una transacción. En el momento mismo en que se autentica la entidad diferenciada 21 en interacción con la tarjeta 20, esta última puede comunicarle su estado sospechoso.
La entidad diferenciada 21 autenticada, entonces, puede procesar este estado sospechoso al objeto de generar una alerta, presentando un mensaje en su pantalla, por ejemplo, o emitiendo un mensaje de alerta con destino a un servidor remoto o a un dispositivo previamente identificado (por ejemplo, el teléfono móvil del portador de la tarjeta).
De este modo, de acuerdo con las diferentes formas de realización anteriormente descritas, la invención permite la autodetección, por parte de una tarjeta de pago, de un pirateo o de un intento de pirateo, y la comunicación, lo antes posible, a una entidad diferenciada autenticada, de un estado sospechoso memorizado por la tarjeta.
5
10
15
20
25
30
35
Por lo tanto, el fraude es detectado por la propia tarjeta y rápidamente dado a conocer (ya desde la siguiente utilización de la tarjeta para un pago, por ejemplo) al objeto de permitir al usuario tomar las medidas necesarias para que el pirateo acarree los menores perjuicios posibles. En efecto, si el usuario es alertado rápidamente después del pirateo, puede darle fin sin demora, mientras que, actualmente, tan solo puede apercibirse del fraude cuando consulta su cuenta y potencialmente ya se han efectuado abundantes transacciones fraudulentas.
5.3. Otras características y ventajas
Se describe, en relación con las figuras 3a y 3b, un ejemplo de tarjeta de pago electrónico que comprende medios de ejecución del procedimiento de autodetección de un intento de pirateo descrito con anterioridad.
De este modo, como se ilustra en la figura 3a, tal tarjeta de pago electrónico 20 comprende medios de detección 30 de una secuencia de operaciones sospechosas. Asimismo, la tarjeta de pago electrónico 20 comprende medios de memorización 31 de un estado sospechoso, cuando se ha detectado una secuencia sospechosa. Asimismo, la tarjeta de pago electrónico 20 comprende medios de interacción y de autenticación 32, así como medios de comunicación 33 del estado previamente memorizado por los medios 31.
Se describe a continuación esta tarjeta de pago electrónico 20 en relación con la figura 3b.
Por ejemplo, la tarjeta de pago electrónico 20 comprende una memoria 201 constituida a partir de una memoria intermedia, una unidad de procesamiento 202 equipada, por ejemplo, con un microprocesador y controlada por el programa de ordenador 203, que lleva a la práctica el procedimiento de autodetección de un intento de pirateo tal y como se ha descrito anteriormente.
Con la inicialización, las instrucciones de código del programa de ordenador 203 se cargan, por ejemplo, en una memoria, antes de ser ejecutadas por el procesador de la unidad de procesamiento 202. La unidad de procesamiento 202 recibe a su entrada, por ejemplo, una secuencia de operaciones, en interacción con la tarjeta 20. El microprocesador de la unidad de procesamiento 202 pone en práctica las etapas del procedimiento de autodetección de un intento de pirateo, según las instrucciones del programa de ordenador 203, para comunicar un estado sospechoso.
Para ello, la tarjeta de pago electrónico 20 comprende, aparte de la memoria intermedia 201, unos medios de detección 30 de una secuencia de operaciones sospechosas, unos medios de memorización 31 de un estado sospechoso, cuando se ha detectado una secuencia sospechosa, unos medios de interacción y de autenticación 32, así como unos medios de comunicación 33 del estado previamente memorizado por los medios 31.
Finalmente se describe, en relación con la figura 4, un ejemplo de terminal de pago electrónico 21 que comprende unos medios de procesamiento 40 de un estado recibido con origen en una tarjeta de pago que pone en práctica el procedimiento de autodetección de un intento de pirateo. Estos medios de procesamiento 40 comprenden, por ejemplo, unos medios de lectura del estado recibido, unos medios de ejecución de comando(s) comprendido(s) en el estado recibido, como por ejemplo medios de presentación visual de una alerta o de emisión de un mensaje de alerta hacia otra entidad remota.

Claims (7)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    REIVINDICACIONES
    1. Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, caracterizado por comprender las siguientes etapas, puestas en práctica por dicha tarjeta:
    • detección (10) de una secuencia de operaciones sospechosas puestas en práctica en interacción con dicha tarjeta, que comprende la detección de una secuencia de operaciones que no se corresponde con una secuencia predeterminada de operaciones que permiten la realización completa de una transacción bancaria, y memorización (11), en dicha tarjeta, de un estado correspondiente, llamado estado sospechoso;
    • interacción (12) de dicha tarjeta con una entidad diferenciada, correspondiente a un terminal de pago electrónico, y autenticación (12), por parte de dicha tarjeta, de dicha entidad diferenciada, correspondiéndose la autenticación con una etapa de puesta en práctica de una transacción completa por intermedio de dicho terminal de pago electrónico;
    • comunicación (13), por parte de dicha tarjeta, de dicho estado sospechoso memorizado a dicha entidad diferenciada autenticada correspondiente a dicho terminal de pago electrónico.
  2. 2. Procedimiento de detección según la reivindicación 1, caracterizado por que dicha etapa de detección es segura y dicha memorización de dicho estado sospechoso es puesta en práctica en una zona específica protegida de la memoria de dicha tarjeta, al objeto de que dicha memorización quede garantizada cualesquiera que sean dichas operaciones puestas en práctica.
  3. 3. Procedimiento de detección según una cualquiera de las reivindicaciones 1 a 2, caracterizado por que dicha etapa de comunicación comprende una subetapa de transmisión de al menos un comando de presentación de un mensaje de alerta en una pantalla de dicha entidad diferenciada.
  4. 4. Procedimiento de detección según una cualquiera de las reivindicaciones 1 a 3, caracterizado por comprender una etapa de procesamiento, en dicha entidad diferenciada, de dicho estado sospechoso comunicado por dicha tarjeta.
  5. 5. Tarjeta electrónica de pago que comprende medios de autodetección de un intento de pirateo, caracterizada por comprender los siguientes medios:
    • medios de detección (30) de una secuencia de operaciones sospechosas puestas en práctica en interacción con dicha tarjeta, que comprenden medios de detección de una secuencia de operaciones que no se corresponden con una secuencia predeterminada de operaciones que permiten la realización completa de una transacción bancaria, y medios de memorización (31), en dicha tarjeta, de un estado correspondiente, llamado estado sospechoso;
    • medios de interacción (32) de dicha tarjeta con una entidad diferenciada, correspondiente a un terminal de pago electrónico, y medios de autenticación (32), por parte de dicha tarjeta, de dicha entidad diferenciada, correspondiéndose dichos medios de autenticación con unos medios de puesta en práctica de una transacción completa por intermedio de dicho terminal de pago electrónico;
    • medios de comunicación (33), por parte de dicha tarjeta, de dicho estado sospechoso memorizado a dicha entidad diferenciada autenticada, correspondiente a un terminal de pago electrónico.
  6. 6. Terminal de pago electrónico que comprende medios de procesamiento de un estado sospechoso recibido con origen en una tarjeta electrónica de pago según la reivindicación 5, comprendiendo dichos medios de procesamiento:
    • medios de lectura de dicho estado sospechoso recibido;
    • medios de ejecución de comando(s) comprendidos en dicho estado sospechoso recibido;
    • medios de emisión de un mensaje de alerta.
  7. 7. Producto de programa de ordenador descargable desde una red de comunicación y/o almacenado en un soporte legible por ordenador y/o ejecutable por un microprocesador, caracterizado por comprender instrucciones de código de programa para la ejecución de un procedimiento según una cualquiera de las reivindicaciones 1 a 4, cuando es ejecutado en un ordenador.
ES15767170.2T 2014-09-26 2015-09-24 Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, tarjeta, terminal y programa correspondientes Active ES2688838T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1459134 2014-09-26
FR1459134A FR3026525B1 (fr) 2014-09-26 2014-09-26 Procede d'auto-detection d'une tentative de piratage d'une carte electronique de paiement, carte, terminal et programme correspondants
PCT/EP2015/071955 WO2016046307A1 (fr) 2014-09-26 2015-09-24 Procédé d'auto-détection d'une tentative de piratage d'une carte électronique de paiement, carte, terminal et programme correspondants

Publications (1)

Publication Number Publication Date
ES2688838T3 true ES2688838T3 (es) 2018-11-07

Family

ID=52824289

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15767170.2T Active ES2688838T3 (es) 2014-09-26 2015-09-24 Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, tarjeta, terminal y programa correspondientes

Country Status (7)

Country Link
US (1) US11403639B2 (es)
EP (1) EP3198540B1 (es)
CA (1) CA2961274C (es)
ES (1) ES2688838T3 (es)
FR (1) FR3026525B1 (es)
PL (1) PL3198540T3 (es)
WO (1) WO2016046307A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG10201508034PA (en) * 2015-09-28 2017-04-27 Mastercard Asia Pacific Pte Ltd Device For Facilitating Identification Of A Fraudulent Payment Card
US11443156B2 (en) * 2020-07-10 2022-09-13 Mastercard International Incorporated Methods and systems for displaying health status of a payment card
CN112417383A (zh) * 2020-11-23 2021-02-26 深圳市德卡科技股份有限公司 读卡器防伪方法及读卡器防伪系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8005426B2 (en) * 2005-03-07 2011-08-23 Nokia Corporation Method and mobile terminal device including smartcard module and near field communications means
WO2007145366A1 (en) * 2006-06-15 2007-12-21 Kabushiki Kaisha Toshiba Portable electronic device and control method thereof
JP4173532B1 (ja) * 2007-11-28 2008-10-29 株式会社インテリジェントウェイブ クレジットカードの決済承認システム及び決済承認方法

Also Published As

Publication number Publication date
US11403639B2 (en) 2022-08-02
FR3026525B1 (fr) 2018-03-23
PL3198540T3 (pl) 2018-12-31
CA2961274A1 (en) 2016-03-31
US20170278109A1 (en) 2017-09-28
WO2016046307A1 (fr) 2016-03-31
FR3026525A1 (fr) 2016-04-01
EP3198540A1 (fr) 2017-08-02
CA2961274C (en) 2023-03-07
EP3198540B1 (fr) 2018-07-04

Similar Documents

Publication Publication Date Title
ES2748847T3 (es) Transacciones de tarjeta de pago seguras
Anderson et al. EMV: Why payment systems fail
BRPI0616470A2 (pt) leitor, cartão, aparelho, e, aparelho leitor para reduzir um tempo de interação para uma transação sem contato, e para evitar um ataque de intermediários na transação sem contato
ES2688838T3 (es) Procedimiento de autodetección de un intento de pirateo de una tarjeta electrónica de pago, tarjeta, terminal y programa correspondientes
WO2017036201A1 (zh) 一种无卡转账或取款的保护方法及手机系统
US20150296381A1 (en) Electronic circuit chip for an rfid tag with a read-only-once functionality
US11017396B2 (en) Automatic transaction device and control method thereof
KR20140065818A (ko) 안전 계좌 확인 시스템 및 방법
Barisani et al. Chip & PIN is definitely broken
JP2007072777A (ja) 取引処理システム
ES2673187T3 (es) Procedimiento de detección de tarjetas no auténticas con microprocesador, tarjeta con microprocesador, terminal lector de tarjetas y programas correspondientes
BR112021011390A2 (pt) Dispositivo e método para proteger os dados de segurança de um cartão de pagamento bancário
El Madhoun et al. The EMV Payment System: Is It Reliable?
CN105069613B (zh) 一种智能手机的在线支付安保系统
BR102013026265A2 (pt) Sistema e método de segurança
WO2015151321A1 (ja) 入力キー配置構造および自動取引装置
JP2007072766A (ja) 個人認証システムおよび方法
KR20140123251A (ko) 금융 서비스 페이지에 대한 인증 서비스 제공 방법 및 이를 위한 인증 서비스 제공 시스템
ES2744269T3 (es) Procedimiento de desactivación de un módulo de pago, producto de programa de ordenador, medio de almacenamiento y módulo de pago correspondientes
Pouwelse et al. Reducing card-not-present fraud using pre-approved transactions
JP2006119936A (ja) 認証処理システム
KR102140374B1 (ko) 블록체인 지갑 시스템의 캐시 부 채널 공격 방지 장치 및 방법, 상기 방법을 수행하기 위한 기록 매체
EP3862953A1 (en) Method for enhancing sensitive data security
JP2006235694A (ja) 暗証コード認証システム
ES2792986T3 (es) Método y sistema para comunicación de un terminal con un elemento seguro