ES2883903T3 - Disposición de detección de manipulación en un dispositivo de entrada de distribuidor de combustible - Google Patents

Disposición de detección de manipulación en un dispositivo de entrada de distribuidor de combustible Download PDF

Info

Publication number
ES2883903T3
ES2883903T3 ES12781772T ES12781772T ES2883903T3 ES 2883903 T3 ES2883903 T3 ES 2883903T3 ES 12781772 T ES12781772 T ES 12781772T ES 12781772 T ES12781772 T ES 12781772T ES 2883903 T3 ES2883903 T3 ES 2883903T3
Authority
ES
Spain
Prior art keywords
tamper
input device
sensitive
circuitry
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES12781772T
Other languages
English (en)
Inventor
Giovanni Carapelli
Philip A Robertson
Alberto Tosi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gilbarco Italia SRL
Gilbarco Inc
Original Assignee
Gilbarco Srl
Gilbarco Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/105,557 external-priority patent/US8786272B2/en
Priority claimed from US13/467,592 external-priority patent/US9166586B2/en
Application filed by Gilbarco Srl, Gilbarco Inc filed Critical Gilbarco Srl
Application granted granted Critical
Publication of ES2883903T3 publication Critical patent/ES2883903T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B29/00Checking or monitoring of signalling or alarm systems; Prevention or correction of operating errors, e.g. preventing unauthorised operation
    • G08B29/02Monitoring continuously signalling or alarm systems
    • G08B29/06Monitoring of the line circuits, e.g. signalling of line faults
    • G08B29/08Signalling of tampering with the line circuit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B13/00Burglar, theft or intruder alarms
    • G08B13/02Mechanical actuation
    • G08B13/12Mechanical actuation by the breaking or disturbance of stretched cords or wires
    • G08B13/126Mechanical actuation by the breaking or disturbance of stretched cords or wires for a housing, e.g. a box, a safe, or a room
    • G08B13/128Mechanical actuation by the breaking or disturbance of stretched cords or wires for a housing, e.g. a box, a safe, or a room the housing being an electronic circuit unit, e.g. memory or CPU chip
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B29/00Checking or monitoring of signalling or alarm systems; Prevention or correction of operating errors, e.g. preventing unauthorised operation
    • G08B29/02Monitoring continuously signalling or alarm systems
    • G08B29/04Monitoring of the detection circuits
    • G08B29/046Monitoring of the detection circuits prevention of tampering with detection circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Sistema para detectar la extracción o la manipulación no autorizada, comprendiendo dicho sistema: un dispositivo de entrada (110) que comprende electrónica sensible a manipulación (160) y memoria (158); un conjunto de circuitos flexible (126; 200; 300) acoplado entre dicho dispositivo de entrada (110) y una estructura en la que está montado el dispositivo de entrada (110), comprendiendo dicho conjunto de circuitos flexible (126; 200; 300): una capa exterior (136; 204; 302); y caracterizado por que dicho conjunto de circuitos flexible (126; 200; 300) comprende, además: una primera capa interior (138; 208; 304) dispuesta entre dicho dispositivo de entrada (110) y dicha capa exterior (136; 204; 302), comprendiendo dicha primera capa interior (138; 208; 304) por lo menos un conmutador (134; 214; 314); un cable (128; 202; 310) acoplado con dicho conjunto de circuitos flexible (126; 200; 300) y conectado operativamente a dicha electrónica sensible a manipulación (160) de dicho dispositivo de entrada (110); en el que dicha capa exterior (136; 204; 302) de dicho conjunto de circuitos flexible (126; 200; 300) y dicho cable (128; 202; 310) comprenden un primer circuito conductor sensible a manipulación (140; 148; 210; 212; 316); y en el que dicho, por lo menos, un conmutador (134; 214; 326) y dicho primer circuito conductor sensible a manipulación (140; 148; 210; 212; 316) están en comunicación eléctrica con dicha electrónica sensible a manipulación (160) por medio de dicho cable (128; 202; 310).

Description

DESCRIPCIÓN
Disposición de detección de manipulación en un dispositivo de entrada de distribuidor de combustible
SECTOR TÉCNICO DE LA INVENCIÓN
La presente invención se refiere, en general, a un distribuidor de combustible y a otros sistemas de pago minorista. Más particularmente, la invención se refiere a sensores para detectar la extracción no autorizada, o la manipulación de un dispositivo de interfaz de usuario de un sistema de pago.
ESTADO DE LA TÉCNICA ANTERIOR
A modo de antecedente, se han incorporado sistemas de pago a instalaciones de repostaje para permitir que un cliente pague por combustible y otros bienes y servicios (tales como un lavado del vehículo, comida rápida o productos de tienda de conveniencia) utilizando una tarjeta de crédito o de débito. Dichos sistemas de pago comprenden varios dispositivos de entrada, tales como lectores de tarjetas y teclados de PIN, que están configurados para aceptar datos necesarios para procesar el pago. El cliente puede proporcionar determinados datos de pago presentando una tarjeta de pago que lleva una banda magnética o un chip, a un lector de tarjetas de pago. Los datos almacenados en la tarjeta de pago pueden incluir uno o varios de los siguientes: un número de cuenta primario (PAN, Primary Account Number), el nombre del titular de la tarjeta, un código de servicio y la fecha de vencimiento de la tarjeta. Asimismo, si es necesario para completar la transacción, el cliente puede introducir información de cuenta, tal como un número de identificación personal (PIN, personal identification number) utilizando un dispositivo de entrada de PIN (por ejemplo, un teclado de PIN). El sistema comunica los datos a un sistema central remoto responsable de la cuenta del cliente, para su verificación.
Debido a los continuos desafíos que los fraudes plantean a clientes, establecimientos y bancos, entre otros, las compañías de tarjetas de pago solicitan cada vez más seguridad durante las transacciones de tarjetas de pago. Por lo tanto, las organizaciones que procesan, almacenan o transmiten datos de pago tienen que cumplir con determinados estándares de la industria. Estos estándares de la industria requieren habitualmente que los dispositivos de entrada (por ejemplo, lectores de tarjetas y dispositivos de entrada de PIN) cumplan determinados requisitos físicos de seguridad, incluyendo contener algún mecanismo antiextracción, conocido asimismo como sensor de desmontaje. En el pasado, estos mecanismos antiextracción incluían conmutadores basados en cables situados en lugares de difícil acceso, que proporcionaban algún grado de protección tanto para el cable como para el conmutador. Otros mecanismos antiextracción incluían microconmutadores en el dispositivo de entrada, que se cerraban cuando el dispositivo de entrada se montaba en una estructura. En ambos casos, los dispositivos de entrada no incluían seguridad entorno a la interfaz entre el conmutador y la estructura, y no proporcionaban la seguridad inherente suficiente para cumplir exigencias nuevas, más demandantes, de las compañías de tarjetas de pago.
La Patente US2006/102458 da a conocer un aparato de entrada de PIN resistente a manipulación.
La patente WO2010/111655 da a conocer un sensor de seguridad en un terminal de punto de venta. La Patente US2008/0278353 da a conocer un conjunto de transacción electrónica resistente a manipulación. El conjunto incluye un sensor sustancialmente plano que tiene una serie de conmutadores de membrana activados por usuario.
CARACTERÍSTICAS
La presente invención reconoce y trata inconvenientes de procedimientos y construcciones de la técnica anterior. Según se define la presente invención en la reivindicación independiente 1, se da a conocer un sistema para detectar la extracción o manipulación no autorizada, comprendiendo dicho sistema:
un dispositivo de entrada que comprende electrónica sensible a manipulación y memoria;
un conjunto de circuitos flexible acoplado entre dicho dispositivo de entrada y una estructura en la que se monta el dispositivo de entrada, comprendiendo dicho conjunto de circuitos flexible:
una capa exterior; y caracterizado por que dicho conjunto de circuitos flexible comprende, además:
una primera capa interior dispuesta entre dicho dispositivo de entrada y dicha capa exterior, comprendiendo dicha primera capa interior, por lo menos, un conmutador;
un cable acoplado con dicho conjunto de circuitos flexible y conectado operativamente a dicha electrónica sensible a manipulación de dicho dispositivo de entrada;
donde dicha capa exterior de dicho conjunto de circuitos flexible y dicho cable comprenden un primer circuito conductor sensible a manipulación; y
donde dicho, por lo menos, un conmutador y dicho primer circuito conductor sensible a manipulación están en comunicación eléctrica con dicha electrónica sensible a manipulación por medio de dicho cable.
Un procedimiento de detección de extracción o manipulación no autorizada. El procedimiento comprende las etapas de disponer una placa de circuito impreso que tiene electrónica sensible a manipulación y disponer un conjunto de circuitos flexible que comprende una parte de conector, una parte de conmutador y un cable que se extiende entre la parte de conector y la parte de conmutador. La parte de conmutador comprende una primera mitad y una segunda mitad conectadas mediante una parte de articulación. El conjunto de circuitos flexible comprende, además, una serie de capas que comprenden, cada una, un sustrato dieléctrico flexible y un conmutador dispuesto en la parte de conmutador. El conmutador está en comunicación eléctrica con la electrónica sensible a manipulación de la placa de circuito impreso por medio de un camino conductor. Además, el conjunto de circuitos flexible comprende un primer circuito conductor sensible a manipulación que contiene el camino conductor. El primer circuito conductor sensible a manipulación está en comunicación eléctrica con la electrónica sensible a manipulación de la placa de circuito impreso. El procedimiento comprende, además, montar el conjunto de circuitos flexible en la placa de circuito impreso, en la parte de conector, y doblar la parte de conmutador en la parte de articulación, y fijar la primera mitad sobre la segunda mitad para engastar el conmutador entre la primera y la segunda mitades.
Un sistema para detectar la extracción o manipulación no autorizada. El sistema comprende un dispositivo de entrada que comprende electrónica sensible a manipulación y una memoria, y un conjunto de circuitos flexible acoplado con el dispositivo de entrada. El conjunto de circuitos flexible comprende una capa exterior y una primera capa interior dispuesta entre el dispositivo de entrada y la capa exterior. La primera capa interior comprende, por lo menos, un conmutador. El sistema comprende asimismo un cable acoplado con el conjunto de circuitos flexible y conectado operativamente a la electrónica sensible a manipulación del dispositivo de entrada. La capa exterior del conjunto de circuitos flexible y el cable comprenden un primer circuito conductor sensible a manipulación. El, por lo menos, un conmutador y el primer circuito conductor sensible a manipulación están en comunicación eléctrica con la electrónica sensible a manipulación por medio del cable.
Una disposición de detección de manipulación multicapa para utilizar con un dispositivo de entrada que comprende electrónica sensible a manipulación y memoria. El sensor multicapa comprende un conjunto de circuitos flexible configurado para su conexión con el dispositivo de entrada. El conjunto de circuitos flexible comprende una capa exterior que comprende un primer circuito conductor sensible a manipulación y una primera capa interior dispuesta bajo la capa exterior. La primera capa interior comprende, por lo menos, un conmutador, un circuito de detección de extracción y un circuito de detección de conductores extraños. El, por lo menos, un conmutador está configurado para cerrar el circuito de detección de extracción cuando el, por lo menos, un conmutador es activado, y el circuito de detección de conductores extraños está normalmente abierto. El primer circuito conductor sensible a manipulación, el circuito de detección de extracción y el circuito de detección de conductores extraños están configurados para comunicación eléctrica con la electrónica sensible a manipulación del dispositivo de entrada. Un procedimiento de detección de extracción o manipulación no autorizada de un dispositivo de entrada que comprende electrónica sensible a manipulación y memoria. El procedimiento comprende la etapa de disponer un conjunto de circuitos flexible acoplado con el dispositivo de entrada. El conjunto de circuitos flexible comprende una capa exterior que comprende un primer circuito conductor sensible a manipulación y una primera capa interior dispuesta entre el dispositivo de entrada y la capa exterior. La primera capa interior comprende, por lo menos, un conmutador, un circuito de detección de extracción y un circuito de detección de conductores extraños. El, por lo menos, un conmutador está conectado operativamente al circuito de detección de extracción, y el circuito de detección de conductores extraños está normalmente abierto. El primer circuito conductor sensible a manipulación, el circuito de detección de extracción y el circuito de detección de conductores extraños están en comunicación eléctrica con la electrónica sensible a manipulación del dispositivo de entrada. El procedimiento comprende asimismo la etapa de monitorizar características eléctricas del primer circuito conductor sensible a manipulación, del circuito de detección de extracción y del circuito de detección de conductores extraños. Finalmente, el procedimiento comprende la etapa de producir una respuesta a la manipulación en la electrónica sensible a manipulación cuando se detecta un cambio en características eléctricas de uno del primer circuito conductor sensible a manipulación, el circuito de detección de extracción y el circuito de detección de conductores extraños.
Los expertos en la materia apreciarán el alcance de la presente invención y concebirán aspectos adicionales de la misma después de leer la siguiente descripción detallada de realizaciones preferentes, en asociación con las figuras de dibujos adjuntas.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
Una descripción completa y habilitadora de la presente invención, incluyendo el mejor modo de la misma, dirigida a un experto en la materia, se expone en la memoria descriptiva, que hace referencia los dibujos adjuntos, en los que: la figura 1 es una representación esquemática de un entorno de distribución minorista de combustible en el que se puede utilizar una realización de la presente invención.
La figura 2 es una vista frontal, en alzado, de un distribuidor de combustible a modo de ejemplo que puede funcionar con un dispositivo POS y/o un controlador de la instalación dentro del entorno de repostaje minorista de la figura 1.
La figura 3A es una vista lateral de un dispositivo de entrada de lector de tarjetas seguro, según una realización de la presente invención.
La figura 3B es una vista frontal del dispositivo de entrada de la figura 3A.
La figura 4 es una vista frontal del conjunto de circuitos flexible construido de acuerdo con una realización de la presente invención y configurado para detectar la manipulación del dispositivo de entrada de las figuras 3A y 3B. La figura 5 es una vista, en perspectiva, con las piezas desmontadas, que muestra capas del conjunto de circuitos flexible de la figura 4, según una realización de la presente invención.
La figura 6 es una representación esquemática de un área segura a modo de ejemplo del dispositivo de entrada de las figuras 3A y 3B, en comunicación eléctrica con los circuitos conductores sensibles a manipulación, el circuito de detección de extracción y el circuito de detección de conductores extraños del conjunto de circuitos flexible de las figuras 4 y 5, según una realización de la presente invención.
La figura 7 es una vista, en planta, de un conjunto de circuitos flexible, según otra realización de la presente invención, mostrado con una capa exterior parcialmente retirada con fines ilustrativos.
La figura 8A es una vista superior que muestra tres capas de un conjunto de circuitos flexible, según otra realización de la presente invención.
La figura 8B es una vista inferior de una cuarta capa del conjunto de circuitos flexible de la figura 8A.
La figura 8C es una vista superior de la quinta capa opcional del conjunto de circuitos flexible de la figura 8A.
La figura 9 es una vista lateral esquemática que muestra el acoplamiento del conjunto de circuitos flexible de la figura 8 a una placa de circuito impreso.
La figura 10 es una vista, en perspectiva, del conjunto de circuitos flexible de la figura 8, en uso con un teclado de PIN y un dispositivo de visualización.
El uso repetido de caracteres de referencia en la presente memoria descriptiva y en los dibujos está destinado a representar características o elementos de la invención iguales o análogos.
DESCRIPCIÓN DETALLADA DE REALIZACIONES PREFERENTES
A continuación se hará referencia en detalle a realizaciones actualmente preferentes de la invención, de las que se muestran uno o varios ejemplos en los dibujos adjuntos. Cada ejemplo se proporciona a modo de explicación de la invención, no de limitación de la invención. De hecho, será evidente para los expertos en la materia que se pueden realizar modificaciones y variaciones en la presente invención sin apartarse del alcance de la misma. Por ejemplo, características mostradas o descritas como parte de una realización pueden ser utilizadas en otra realización para producir una realización más. De este modo, se contempla que la presente invención abarca dichas modificaciones y variaciones puesto que entran dentro del alcance de las reivindicaciones adjuntas y sus equivalentes.
Las realizaciones de la presente invención dan a conocer un conjunto de circuitos flexible de múltiples capas que se puede utilizar para proporcionar seguridad sensible a manipulación, para uno o varios dispositivos de entrada. Tal como se utiliza en la presente memoria, el término “dispositivo de entrada” se refiere, en general, a dispositivos seguros, incluyendo, de forma no limitativa, teclados de PIN, teclados numéricos, pantallas táctiles, lectores de tarjeta seguros y lectores de tarjetas inteligentes, que pueden recibir información asociada con un usuario del dispositivo de entrada. Dicha información puede incluir información asociada con una tarjeta de pago, tal como un PAN u otro número de cuenta, el nombre del usuario, un código de servicio y la fecha de vencimiento de la tarjeta. Además, dicha información puede incluir datos asociados con dispositivos de pago procesados in situ o en una red privada del minorista, como datos de tarjetas de fidelización o específicas por programa.
Muchos dispositivos de entrada que se pueden utilizar con la presente invención, de forma deseable, incluyen una área segura que comprende un procesador, una memoria o una unidad de almacenamiento, y electrónica sensible a manipulación. La memoria de los dispositivos de entrada puede almacenar uno o varios algoritmos de cifrado, claves y/o codificadores utilizados para cifrar inmediatamente información de entrada al recibirla. En una realización preferente, los dispositivos de entrada pueden permitir cifrado de clave única obtenida por transacción (DUKPT, derived unique key per transaction) de Triple DES, de la información de entrada. Tal como se describe a continuación, en el caso de acceso o manipulación no autorizada detectada en la electrónica sensible a manipulación, los contenidos del dispositivo de entrada, incluyendo datos contenidos en, o manejados por el procesador y/o la memoria del dispositivo de entrada, son preferentemente borrados, eliminados o destruidos. Alternativamente, cualquier parte de los contenidos del dispositivo de entrada suficiente para identificar información de entrada o algoritmos de cifrado, claves y/o codificadores, es eliminada si se produce manipulación.
El término “capa”, tal como se utiliza en la presente memoria, se refiere, en general, a una o varias láminas, películas, sustratos o similares, que sirven a una función particular (por ejemplo, conmutación, malla de seguridad, plano de masa) en un conjunto de circuitos flexible. De este modo, en algunas realizaciones, una capa puede comprender circuitos impresos, conmutadores u otros componentes electrónicos, adhesivos, materiales aislantes, pantallas y/o sellantes.
Algunas realizaciones de la presente invención son particularmente adecuadas para utilizar con dispositivos de entrada en un entorno de estación de servicio minorista, y la siguiente explicación describirá realizaciones preferentes en ese contexto. Sin embargo, los expertos en la materia comprenderán que la presente invención no queda por ello limitada. De hecho, se contempla que la presente invención se puede utilizar con cualquier entorno minorista apropiado. Adicionalmente, se contempla que la presente invención se utilice con cualquier dispositivo de entrada adecuado que lleve información que requiera protección contra manipulación.
Haciendo referencia a continuación a la figura 1, un entorno de repostaje 10 a modo de ejemplo puede comprender un edificio central 12, un lavadero de coches 14 y una serie de isletas de repostaje 16. El edificio central 12 no tiene por qué estar situado centralmente dentro del entorno de repostaje 10, sino que es el núcleo del entorno de repostaje 10 y puede alojar una tienda de conveniencia 18 y/o un restaurante de comida rápida 20 en el mismo. Tanto la tienda de conveniencia 18 como el restaurante de comida rápida 20 pueden incluir un punto de venta (POS, point of sale) 22, 24, respectivamente. El POS 22, 24 puede comprender un único ordenador o servidor conectado operativamente a un terminal de pago y lector de tarjetas asociado. Adicionalmente, el POS 22, 24 puede incluir una pantalla, una pantalla táctil y/u otros dispositivos de entrada.
El edificio central 12 puede alojar, además, un controlador de la instalación (SC, site controller) 26 que, en una realización a modo de ejemplo, puede ser un sistema POS PASSPORT®, comercializado por Gilbarco Inc., de Greensboro, N. C., aunque se pueden utilizar controladores de la instalación de terceros. El controlador de la instalación 26 puede controlar la autorización de transacciones de repostaje y otras actividades convencionales, como se comprenderá, y el controlador de la instalación 26 puede estar, preferentemente, en comunicación operativa con cada POS. Alternativamente, el controlador de la instalación 26 puede estar incorporado en un POS, tal como un punto de venta 22, si es necesario o deseable.
Además, el controlador de la instalación 26 puede tener una conexión de comunicación externa a la instalación 28 que permite la comunicación con un sistema de procesamiento central remoto 30 para autorización de tarjetas de crédito/débito, provisión de contenidos, propósitos de notificación o similares, si es necesario o deseable. En una realización, la conexión de comunicación 28 puede ser un rúter independiente, un conmutador o una pasarela, aunque se apreciará que el controlador de la instalación 26 puede realizar adicionalmente las funciones de dicho dispositivo, y por lo tanto sustituirlo. La conexión de comunicación externa a la instalación 28 puede ser enrutada a través de la red telefónica pública conmutada (PSTN, Public Switched Telephone Network), internet, ambas o similares, si es necesario o deseable. El sistema de procesamiento central remoto 30 puede comprender, por lo menos, un servidor mantenido por terceros, tal como una instrucción financiera. Aunque se muestra solamente un sistema de procesamiento central remoto 30, los expertos en la materia apreciarán que en un sistema de pago minorista que permita el pago a través de dispositivos de pago emitidos por múltiples compañías de tarjetas de pago o instituciones financieras, el controlador de la instalación 26 puede estar en comunicación con una serie de sistemas de procesamiento centrales remotos 30.
El lavadero de coches 14 puede tener un POS 32 asociado con el mismo, que comunica con el controlador de la instalación 26 con propósitos de inventario y/o de ventas. En lavadero de coches 14 puede ser, alternativamente, una unidad independiente. Se debe observar que el lavadero de coches 14, la tienda de conveniencia 18 y el restaurante de comida rápida 20 son todos opcionales y no tienen por qué estar presentes en un determinado entorno de repostaje.
Las isletas de repostaje 16 pueden tener uno o varios distribuidores de combustible 34 ubicados en las mismas. Los distribuidores de combustible 34 pueden ser, por ejemplo, el distribuidor de combustible ENCORE® comercializado por Gilbarco Inc. de Greensboro, N. C. Los distribuidores de combustible 34 están en comunicación electrónica con el controlador de la instalación 26 a través de cualquier conexión adecuada, tal como dos cables, RS 422, de Ethernet, inalámbrica, etc., si es necesario o deseable.
El entorno de repostaje 10 tiene asimismo uno o varios depósitos de almacenamiento subterráneo (UST, underground storage tanks) 36 adaptados para contener combustible. Por definición, cada UST 36 puede ser un depósito de doble pared. Además, cada UST 36 puede incluir un monitor del depósito (TM, tank monitor) 38 asociado con el mismo. Los monitores de depósito 38 pueden comunicar con distribuidores de combustible 34 (bien a través del controlador de la instalación 26 o directamente, si es necesario o deseable) para determinar cantidades de combustible distribuido y comparar el combustible distribuido con los niveles actuales de combustible dentro de los UST 36 para determinar si hay fugas en los UST 36.
El monitor de depósito 38 puede comunicar con el controlador de la instalación 26 y puede tener, además, una conexión de comunicación externa a la instalación 40 para notificar detección de fugas, notificación de inventario o similares. De manera muy parecida a la conexión de comunicación externa a la instalación 28, la conexión de comunicación externa a la instalación 40 puede ser a través de la PSTN, de internet, de ambas o similares. Si la conexión de comunicación externa a la instalación 28 está presente, no es necesario que esté presente la conexión de comunicación externa a la instalación 40, y viceversa, aunque si es necesario o deseable pueden estar presentes ambas conexiones.
Se da a conocer más información sobre distribuidores de combustible y entornos de repostaje minorista, y ejemplos, en las Patentes US6,435,204 (titulada "Fuel Dispensing System"); US5,956,259 (titulada "Intelligent Fueling"); US5,734,851 (titulada "Multimedia Video/Graphics in Fuel Dispensers"); Us 6,052,629 (titulada "Internet Capable Browser Dispenser Architecture"); US5,689,071 (titulada "Wide Range, High Accuracy Flow Meter"); US6,935,191 (titulada "Fuel Dispenser Fuel Flow Meter Device, System and Method"); y US7,289,877 (titulada "Fuel Dispensing System for Cash Customers"). Un monitor de depósito 38 a modo de ejemplo puede ser el TLS-450, fabricado y comercializado por Veeder-Root Company de Simsbury, CT. Para más información sobre monitores de depósito y su funcionamiento se puede hacer referencia a las Patentes US5,423,457 (titulada "Real time tank product loss detection system"); US5,400,253 (titulada "Automated Statistical Inventory Reconciliation System for Convenience Stores and Auto/Truck Service Stations"); US5,319,545 (titulada "System to Monitor Multiple Fuel dispensers and Fuel Supply Tank"); y US4,977,528 (titulada "Apparatus and Method for Determining the Amount of Material in A Tank").
La figura 2 muestra un distribuidor de combustible 34 que puede funcionar en asociación con el controlador de la instalación 26, de acuerdo con una realización de la presente invención. El distribuidor 34 incluye un sistema de control 42, que puede ser un procesador, un microprocesador, un controlador, un microcontrolador u otra electrónica adecuada con memoria asociada y programas de software que se ejecutan en el mismo. En una realización preferente, el sistema de control 42 es comparable a los sistemas de control basados en microprocesador utilizados en unidades de tipo CRIND y TRIND, comercializadas por Gilbarco Inc. El sistema de control 42 está en comunicación operativa con el controlador de la instalación 26. El sistema de control 42 controla, además, diversos aspectos del distribuidor de combustible 34, tal como se describe en mayor detalle a continuación.
La memoria del sistema de control 42 puede ser cualquier memoria adecuada o medio adecuado legible por ordenador siempre que sea accesible por el sistema de control, incluyendo memoria de acceso aleatorio (RAM, random access memory), memoria de sólo lectura (ROM, read-only memory), ROM programable borrable (EPROM, erasable programmable ROM) o EPROM eléctricamente (electrically EPROM), CD-ROM, DVD u otro almacenamiento de disco óptico, unidad de estado sólido (SSD, solid-state drive), almacenamiento de disco magnético, incluyendo discos flexibles o duros, cualquier tipo de memorias no volátiles adecuadas, tales como Secure Digital (SD), memoria flash, lápiz de memoria o cualquier otro medio adecuado que se pueda utilizar para transportar o almacenar código de programa informático en forma de programas ejecutables por ordenador, instrucciones o datos. El sistema de control 42 puede incluir asimismo una parte de una memoria accesible solamente por el sistema de control 42.
En la realización mostrada, el distribuidor 34 tiene una base 44 y una parte superior 46, con una cubierta 48 soportada por dos paneles laterales 50. El distribuidor de combustible 34 está subdividido en múltiples compartimentos. A este respecto, un área hidráulica 52 contiene componentes hidráulicos y un área electrónica 54 contiene componentes electrónicos. Se puede utilizar una barrera de vapor para separar el área hidráulica 52 del área electrónica 54.
Dentro del área hidráulica 52 pueden estar contenidos varios componentes utilizados para controlar el flujo de combustible. Desde el UST 36 se bombea combustible a través de una red de tuberías, a una tubería de entrada 56. El combustible que está siendo distribuido pasa a través de un medidor 58, que es sensible al caudal o al volumen. Un sensor de desplazamiento 60 (por ejemplo, generador de impulsos) se utiliza para generar una señal en respuesta a un combustible que fluye a través del medidor 58. Se proporcionan al sistema de control 42 por medio de líneas de control 62 señales indicativas del flujo de combustible que se está distribuyendo. Las líneas de control/datos 62 pueden proporcionar señalización de control a una válvula 64, que se puede abrir y cerrar para permitir o no permitir la distribución de combustible.
Las mediciones de flujo del medidor desde el sensor 60 son recogidas por el sistema de control 42. Asimismo, el sistema de control 42 realiza habitualmente cálculos, tales como el coste asociado con una transacción de distribución de combustible. Adicionalmente, el sistema de control 42 controla el proceso transaccional en el distribuidor de combustible 34, tal como se describirá en mayor detalle a continuación.
Cuando progresa una transacción de distribución, se suministra entonces combustible a una manguera 66 y a través de una boquilla 68 al vehículo del cliente. El distribuidor 34 incluye un receptáculo 70 de la boquilla, que se puede utilizar para sujetar y retener la boquilla 68 cuando no está en uso. El receptáculo 70 de la boquilla puede incluir un conmutador mecánico o electrónico para indicar cuándo la boquilla 68 se ha extraído para una solicitud de distribución de combustible y cuándo la boquilla 68 se ha vuelto a colocar, lo que significa el término de una transacción de repostaje. Una línea de control proporciona un trayecto de señalización desde el conmutador electrónico al sistema de control 42. El sistema de control 42 puede utilizar señalización recibida por medio de la línea de control para realizar una determinación acerca de cuándo se ha iniciado o completado una transacción. Unas líneas de datos/control 72 proporcionan comunicación electrónica entre el sistema de control 42 y una interfaz de usuario 74. La interfaz de usuario 74 incluye varias combinaciones de subsistemas para facilitar la interacción del cliente con el distribuidor 34 y la aceptación del pago por el combustible distribuido. Un marco 76 actúa como un reborde alrededor de los diversos subsistemas de la interfaz 74. En la mayoría de los casos, el marco 76 está al ras con la cara del distribuidor de combustible; sin embargo, en algunas realizaciones se puede extender hacia el exterior desde la cara, formando en efecto un borde elevado. El marco 76 puede comprender asimismo una serie de secciones que enmarcan o alojan varios subsistemas o componentes.
Tal como se muestra, la interfaz de usuario 74 incluye varios dispositivos de entrada. Por ejemplo, la interfaz de usuario 74 puede incluir un teclado numérico 78. El teclado numérico 78 se utiliza habitualmente para la introducción de un PIN si el cliente está utilizando una tarjeta de débito para el pago de combustible u otros bienes o servicios. En una realización preferente, el teclado numérico 78 puede ser un teclado PIN de cifrado FlexPay™ ofrecido por Gilbarco Inc. La interfaz de usuario 74 puede incluir asimismo un lector de tarjetas seguro 80 para aceptar tarjetas de crédito, débito u otras tarjetas de chip o de banda magnética para el pago. Adicionalmente, el lector de tarjetas seguro 80 puede aceptar tarjetas de fidelización o específicas por programa.
La interfaz de usuario 74 puede incluir asimismo otros dispositivos de entrada, tales como un lector de tarjetas sin contacto 82 (por ejemplo, para tarjetas de circuito integrado o “inteligentes”). Además, la interfaz de usuario 74 puede incluir otros dispositivos de pago o de transacciones, tales como un aceptador de efectivo 84, una impresora de recibos 86 y un dispositivo de suministro de cambio 88. La impresora de recibos 86 puede proporcionar a un cliente un recibo de la transacción llevada a cabo en el distribuidor de combustible 34. El dispositivo de suministro de cambio 88 puede suministrar cambio a un cliente por el sobrepago. Se contemplan asimismo otros dispositivos de transacción, tales como un lector óptico y un lector biométrico.
Se puede utilizar una pantalla 90 para presentar información, tal como solicitudes relacionadas con la transacción y anuncios, al cliente. En algunas realizaciones, se puede utilizar una pantalla táctil para la pantalla 90. En este caso, la pantalla 90 puede estar configurada para visualizar un teclado numérico virtual para recibir datos de pago, tal como un PIN de una tarjeta de débito o el código postal de facturación de una tarjeta de crédito, por ejemplo. La pantalla 90 se puede utilizar asimismo para recibir una selección del cliente relacionada con la información mostrada.
El cliente puede utilizar botones programables 92 para responder a solicitudes de información presentadas al usuario a través de la pantalla 90. Se puede disponer un interfono 94 para generar señales audibles para el cliente y permitir al cliente interactuar con un asistente. Además, el distribuidor 34 puede incluir una visualización 96 del precio total de la transacción, que presenta al cliente el precio del combustible distribuido. Se puede utilizar una pantalla 98 del total de litros de la transacción, para presentar al cliente la medida del combustible distribuido, en unidades de litros o galones. Se pueden disponer botones de selección de octanos 100 para que el cliente seleccione qué calidad del combustible se va a distribuir, antes de que se inicie la distribución. Finalmente, se pueden disponer pantallas 102 de precio por unidad (PPU, price per unit) para mostrar el precio por unidad del combustible distribuido, ya sea en galones o en litros, dependiendo de la programación del distribuidor 34.
Tal como se ha indicado anteriormente, las realizaciones de la invención se refieren a sensores para detectar la extracción o la manipulación no autorizada de uno o varios dispositivos de entrada. Por ejemplo, algunas realizaciones dan a conocer un conjunto de circuitos flexible que se puede utilizar para detectar la manipulación de un lector de tarjetas. A este respecto, la figura 3A es una vista lateral de un dispositivo de entrada 110 del lector de tarjetas seguro, y la figura 3B es una vista frontal del lector de tarjetas seguro 110. Aunque algunas realizaciones de la presente invención se describen a continuación haciendo referencia al lector de tarjetas 110, los expertos en la materia apreciarán que la presente invención se puede utilizar con cualquier dispositivo de entrada adecuado.
El lector de tarjetas 110 puede comprender un cabezal lector de doble cara 112 para recibir información desde una tarjeta de pago, tal como una banda magnética o una tarjeta EMV, que se puede introducir en una ranura de lectura 114. El lector de tarjetas 110 puede comprender, además, un cuerpo envolvente 116 que contiene electrónica de lector de tarjetas (descrita en mayor detalle a continuación) y, por lo menos, un puerto de entrada-salida (“E/S”) 118 para recibir y cargar claves de cifrado. En realizaciones actualmente preferentes, el lector de tarjetas seguro 110 puede ser similar al lector de tarjetas seguro PermaSeal de MagTek® o al lector de tarjetas seguro FlexPay™ ofrecido por Gilbarco Inc.
Tal como se apreciará, el lector de tarjetas 110 puede estar configurado para montarse con un marco de un distribuidor de combustible, tal como el marco 76 descrito anteriormente. Por lo tanto, el lector de tarjetas 110 puede definir una cara frontal 120 y un reborde 122 dispuesto detrás de la cara frontal 120. Después del montaje, la cara frontal 120 queda enrasada con una superficie frontal del marco, y el reborde 122 linda con una superficie posterior del marco. Dado que el reborde 122 define un área mayor que la cara frontal 120, el reborde 122 impide la extracción del lector de tarjetas 110 desde la parte frontal del marco, y ofrece una medida de protección frente al clima para la electrónica del cuerpo envolvente 116.
Preferentemente, se puede utilizar un soporte para fijar el lector de tarjetas seguro 110 al marco, aunque se contemplan otros procedimientos de montaje. Tal como se muestra en la figura 3A, el lector de tarjetas 110 puede definir, preferentemente, un intersticio 124 alrededor de su periferia, entre el cuerpo envolvente 116 y el reborde 122. El intersticio 124 está dimensionado para recibir un soporte delgado, en forma de u, que se puede acoplar de manera extraíble al lector de tarjetas 110 mediante ajuste por fricción. El soporte puede tener, preferentemente, un área mayor que la del reborde 122, y define una serie de aberturas. Las aberturas pueden estar dimensionadas para recibir tornillos de montaje u otros elementos de sujeción. Cuando el soporte se acopla al marco, el reborde 122 está forzado hacia la superficie posterior del marco para fijar en posición el lector de tarjetas seguro 110.
Según las realizaciones de la presente invención, un conjunto de circuitos flexible es acoplado entre un dispositivo de entrada y una estructura en la que se monta el dispositivo de entrada. Preferentemente, la presión aplicada al conjunto de circuitos flexible durante el montaje activa, por lo menos, un conmutador en una capa del conjunto de circuitos flexible para completar un circuito de detección de extracción. De este modo, cuando el dispositivo es extraído durante un intento de comprometer el dispositivo, el circuito de detección de extracción se abrirá. El dispositivo de entrada (u otro dispositivo asociado, montado en la estructura) está dotado preferentemente de electrónica sensible a manipulación en comunicación electrónica con el conjunto de circuitos flexible, para detectar el intento de extracción y adoptar la acción apropiada para impedir el fraude.
Un conjunto de circuitos flexible de la presente invención puede estar acoplado con un dispositivo de entrada en muchas posiciones diferentes, dependiendo del dispositivo de entrada en cuestión y del procedimiento mediante el que este se monta en una estructura. No obstante, a modo de ejemplo, la figura 4 es una vista frontal de un conjunto de circuitos flexible 126 configurado para utilizar con el lector de tarjetas seguro 110. Tal como se describe a continuación, el conjunto de circuitos flexible 126 puede comprender dos o más capas y estar en comunicación eléctrica con un área segura en el lector de tarjetas 110 por medio de un cable 128 y un conector 130. En la realización mostrada, el conjunto de circuitos flexible 126 define una abertura 132 dimensionada para ser recibida sobre la superficie frontal 120 del lector de tarjetas 110. De este modo, el conjunto de circuitos flexible 126 se puede fijar al reborde 122, por ejemplo, durante la fabricación, con adhesivo adecuado.
Cuando el lector de tarjetas 110 se fija al marco del distribuidor de combustible, el conjunto de circuitos flexible 126 se puede comprimir entre el reborde 122 y la superficie posterior del marco. Tal como se describe a continuación, esta presión sobre el conjunto de circuitos flexible 126 cierra, preferentemente, uno o varios conmutadores dispuestos en una capa del conjunto de circuitos flexible 126. En este caso, se muestran esquemáticamente cuatro conmutadores 134.
La figura 5 es una vista, en perspectiva, con las piezas desmontadas, que muestra capas del conjunto de circuitos flexible 126, según una realización de la presente invención. En particular, el conjunto de circuitos flexible 126 comprende preferentemente una capa exterior 136 y una primera capa interior 138. Adicionalmente, tal como se muestra, una o varias de las capas del conjunto de circuitos flexible 126 pueden tener partes que definen el cable 128. Sin embargo, el cable 128 puede asimismo disponerse por separado. La primera capa interior 138 puede estar dispuesta entre el dispositivo de entrada y la capa exterior 136. Las capas 136, 138 comprenden, preferentemente, un sustrato dieléctrico delgado, flexible, adecuado, tal como tereftalato de polietileno (PET) o poliimida. En una realización, el sustrato dieléctrico flexible puede comprender película de poliimida Kapton® ofrecida por DuPont. Un adhesivo adecuado, tal como un adhesivo sensible a la presión, u otra capa de adhesivo, se utiliza para conectar las capas 136, 138.
La capa exterior 136 comprende, preferentemente, un primer circuito conductor sensible a manipulación 140. Los expertos en la materia están familiarizados con los circuitos conductores sensibles a manipulación (en ocasiones, denominados “malla” sensible a la manipulación). Por ejemplo, el circuito conductor sensible a manipulación 140 puede estar formado por un par de estructuras conductoras muy próximas 142, 144 serigrafiadas sobre el sustrato flexible de la capa exterior 136. (Se apreciará que se pueden utilizar otras técnicas de deposición para formar las estructuras 142, 144 sobre el sustrato flexible.) Las estructuras conductoras 142, 144 pueden estar formadas de cualquier material conductor adecuado, tal como plata o cobre, y seguir un recorrido en serpentina a lo largo del sustrato flexible. Adicionalmente, aunque por claridad no se muestra en la figura 5, la capa exterior 136 puede comprender una capa aislante o de revestimiento opaca, formada sobre el circuito conductor sensible a manipulación 140. La utilización de un revestimiento opaco puede mejorar más la seguridad, haciendo más difícil determinar cómo comprometer las características de seguridad sensibles a la manipulación.
Las estructuras 142, 144, que preferentemente cubren sustancialmente la capa exterior 136, comienzan y terminan en el conector 130. De este modo, el circuito conductor sensible a manipulación 140 puede estar, preferentemente, adaptado para comunicación eléctrica con la electrónica sensible a manipulación en un área segura de un dispositivo de entrada. Además, el circuito conductor sensible a manipulación se extiende sobre la parte de la capa exterior 136 que define parte del cable 128 y, por lo tanto, la conexión entre la electrónica sensible a manipulación y el conjunto de circuitos flexible 126 está, asimismo, protegida frente a manipulación. Los expertos en la materia apreciarán que, en uso, la electrónica sensible a manipulación monitoriza continuamente una o varias características eléctricas (tales como la resistencia o la tensión) de las estructuras conductoras 142, 144. Las estructuras 142, 144 están posicionadas, preferentemente, de manera que la manipulación provocará que uno o ambos patrones 142, 144 se rompan o cortocircuiten. La electrónica sensible a manipulación detectará a continuación un cambio en una o varias características eléctricas, y adoptará una acción apropiada para impedir el fraude, tal como activar una alarma y deshabilitar el dispositivo de entrada, o borrar o sobrescribir una memoria del dispositivo de entrada.
Tal como se ha explicado anteriormente, el conjunto de circuitos flexible 126 comprende, preferentemente, uno o varios conmutadores configurados para cerrarse cuando se monta el conjunto de circuitos flexible 126. Preferentemente, estos conmutadores están dispuestos en la primera capa interior 138 y funcionan para completar selectivamente un circuito de detección de extracción, tal como se describe a continuación. Aunque se puede utilizar cualquier conmutador adecuado, los conmutadores pueden ser, preferentemente, dispositivos de tipo pulsador, de contacto momentáneo, que se encuentran habitualmente en conmutadores de membrana. Tal como se muestra, los conmutadores 134 pueden ser, preferentemente, similares a los conmutadores de membrana ofrecidos por Xymox Technologies, Inc. de Milwaukee, WI. Alternativamente, en algunas realizaciones los conmutadores se pueden disponer en otra capa, tal como la capa exterior 136.
De este modo, por ejemplo, el sustrato flexible de la primera capa interior 138 puede comprender conductores impresos que forman un circuito con contactos abiertos en las posiciones de los conmutadores 134. La primera capa interior 138 puede comprender asimismo una capa separadora, para separar un segundo sustrato flexible que contiene placas conductoras o similares, respecto del sustrato sobre el que está impreso el circuito. Aunque la capa separadora mantiene normalmente las placas conductoras fuera de contacto con los contactos abiertos, una presión aplicada al área de los conmutadores 134 hace que las placas conductoras completen el circuito. En algunas realizaciones, los conmutadores 134 pueden ser táctiles y comprender una cúpula de metal (por ejemplo, acero inoxidable) o poliéster. Se da a conocer información adicional de la técnica anterior en relación con la construcción de conmutadores de membrana adecuados en las Patentes US4,217,473, de Parkinson, y US4,218,600, de Kissner.
Aunque algunas realizaciones del conjunto de circuitos flexible 126 pueden comprender solamente la capa exterior 136 y la primera capa interior 138, se puede obtener seguridad adicional de respuesta a la manipulación disponiendo una segunda capa interior 146 (preferentemente, fabricada de un material similar al de las capas 136 y 138). Una segunda capa interior 146 puede estar dispuesta entre la primera capa interior 138 y el dispositivo de entrada al que se fija el conjunto de circuitos flexible 126. Asimismo, la segunda capa interior 146 comprende, preferentemente, un segundo circuito conductor sensible a manipulación 148 formado de conductores impresos 150, 152. La segunda capa interior 146 y el circuito conductor sensible a manipulación 148 son, preferentemente, análogos a la primera capa interior 136 y al circuito conductor sensible a manipulación 140, respectivamente. Adicionalmente, en algunas realizaciones, los circuitos conductores sensibles a manipulación 140, 148 se pueden combinar para formar un único circuito conductor sensible a manipulación que abarca múltiples capas.
Tal como se ha indicado anteriormente, en muchas realizaciones, el conjunto de circuitos flexible 126 está, preferentemente, en comunicación eléctrica con un área segura de un dispositivo de entrada. Generalmente, el área segura puede ser un recinto físico protegido contra manipulación para componentes de un dispositivo de entrada que lleva información sensible, tal como claves de cifrado o números de cuenta de cliente. De este modo, el área segura puede estar protegida por uno o varios circuitos conductores sensibles a manipulación y/o encajada en resina epoxi, o similares. Se encuentra información de la técnica anterior relacionada con áreas seguras para componentes electrónicos de un dispositivo de entrada, en la patente US6,853,093, de Cohen et al.
Más particularmente, la figura 6 es una representación esquemática de un área segura 154 a modo de ejemplo, del lector de tarjetas 110 acoplado con los circuitos en el conjunto de circuitos flexible 126. El cable 128, explicado anteriormente, conecta preferentemente los circuitos y componentes electrónicos del conjunto de circuitos flexible 126 con el área segura 154. El área segura 154 puede alojar, entre otros componentes, un procesador 156 en comunicación electrónica con, por lo menos, una memoria 158 y electrónica sensible a manipulación 160. Como es bien sabido, el procesador 156 puede llevar a cabo procesamiento de cifrado, funcional y de control para el lector de tarjetas 110. La memoria 158 puede almacenar uno o varios tipos de información confidencial, incluyendo claves de cifrado o información de cuentas de clientes.
Los circuitos en el conjunto de circuitos flexible 126 pueden estar en comunicación eléctrica con electrónica sensible a manipulación 160. Los circuitos conductores sensibles a manipulación 140, 148 se han descrito anteriormente haciendo referencia a la figura 5. Tal como se muestra en la figura 6, los conmutadores 134 de la capa interior 138 están configurados, preferentemente, para completar selectivamente un circuito de detección de extracción 162. En particular, cuando el lector de tarjetas 110 se monta contra un marco, la presión sobre el conjunto de circuitos flexible 126 hace que los conmutadores 134 se cierren. A continuación, si se intenta una extracción no autorizada del lector de tarjetas 110, uno o varios de los conmutadores 134 se pueden abrir, rompiendo el circuito de detección de extracción 162 y provocando una respuesta a la manipulación. Los conmutadores 134 se muestran conectados en serie en el circuito de detección de extracción 162 solamente para facilitar la ilustración, y los expertos en la materia apreciarán que los conmutadores 134 pueden estar conectados en paralelo.
La figura 6 muestra asimismo una segunda capa de seguridad en la capa interior 138 para defensa frente a ataques por conductores extraños inyectados. Específicamente, un circuito de detección de conductores extraños 164, que normalmente está abierto, está dispuesto en la capa interior 138 junto al circuito de detección de extracción 162. Cuando intenta comprometer el dispositivo de entrada, un saboteador puede intentar introducir un conductor extraño (tal como un líquido conductor) en la capa interior 138 para cortocircuitar el circuito de detección de extracción 162. Sin embargo, en este caso el circuito 164 está posicionado, preferentemente, con respecto al circuito de detección de extracción 162 de tal modo que, si el saboteador intenta crear un cortocircuito en torno a los conmutadores 134, el conductor extraño entrará en contacto asimismo con el circuito 164. Dicho contacto completara el circuito 164 y provocará una respuesta a la manipulación.
La electrónica sensible a manipulación 160, preferentemente, monitoriza las características eléctricas de los circuitos en el conjunto de circuitos flexible 126 y proporciona salidas al procesador 156. El procesador 156 puede determinar si un cambio en un parámetro medido indica manipulación, tal como si el parámetro supera un umbral predeterminado. Si se indica manipulación, el procesador 156 puede ordenar a la electrónica sensible a manipulación 160 que borre y/o sobrescriba los datos almacenados en la memoria 158. Alternativamente, el procesador 156 puede activar un indicador de manipulación y deshabilitar el lector de tarjetas 110 hasta que el lector de tarjetas 110 sea “rearmado” por el servicio técnico autorizado.
Los expertos en la materia apreciarán que el procesador 156, la memoria 158 y la electrónica sensible a manipulación 160 se muestran como elementos discretos solamente para facilitar la descripción de realizaciones preferentes. En otras realizaciones, cualesquiera o la totalidad de estos elementos se pueden disponer de manera diferente y/o combinar, tal como en uno o varios circuitos integrados.
La figura 7 es una vista, en planta, de un conjunto de circuitos flexible 200 mostrado en sección parcial, según otra realización de la presente invención. El conjunto de circuitos flexible 200 es, en muchos aspectos, similar al conjunto de circuitos flexible 126 y comprende un cable 202 para conexión con un área segura de un dispositivo de entrada, una capa exterior 204, una primera capa interior 206 y una segunda capa interior 208. La capa exterior 204 y la segunda capa interior 208 incluyen, respectivamente, circuitos conductores sensibles a manipulación 210, 212. Sin embargo, en esta realización, el conjunto de circuitos flexible 200 tiene dimensiones físicas menores que el conjunto de circuitos flexible 126 y comprende un único conmutador 214 en la primera capa interior 206.
Esta realización puede ser preferente cuando se desea que potenciales saboteadores no conozcan por adelantado la posición de la característica de seguridad que intentan deshabilitar. En particular, debido a las dimensiones físicas pequeñas del conjunto de circuitos flexible 200, este dispositivo se puede fijar a un dispositivo de entrada en una posición aleatoria durante la fabricación. Se apreciará que el posicionamiento aleatorio del conjunto de circuitos flexible 200 añade una característica de seguridad adicional a superar. Dependiendo de la aplicación, puede ser deseable utilizar más de un conjunto de circuitos 200 con un único dispositivo de entrada, dispuestos aleatoriamente entre sí.
Las figuras 8A a 8C muestran capas de un conjunto de circuitos flexible 300, según otra realización de la presente invención. La figura 8A es una vista superior de una primera capa 302, una segunda capa 304 y una tercera capa 306 del conjunto de circuitos flexible 300. La figura 8B es una vista inferior de una cuarta capa 308 del conjunto de circuitos flexible 300. Cada una de las capas 302, 304, 306, 308 comprende, preferentemente, un sustrato dieléctrico flexible, delgado, como las anteriores capas 136, 138. Asimismo, tal como se ha explicado anteriormente, se puede utilizar un adhesivo adecuado para conectar las capas 302, 304, 306 y 308. Cuando están montadas, las capas 302, 304, 306 y 308 definen un cable 310, una parte 312 de conector y una parte 314 de conmutador. (Para mayor claridad, los numerales de referencia para el cable 310, la parte 312 de conector y la parte 314 de conmutador se muestran solamente con respecto a la primera capa 302 en la figura 8A. Sin embargo, se apreciará que estos elementos del conjunto de circuitos flexible 300 comprenden asimismo cada una de las capas 304, 306 y 308.) La primera capa 302 y la tercera capa 306 comprenden, preferentemente, un circuito conductor sensible a manipulación 316 análogo a los circuitos conductores sensibles a manipulación 140, 148, 210 y 212 descritos anteriormente. Se apreciará que el circuito conductor sensible a manipulación 316 se muestra sólo parcialmente en la figura 8A, para mayor claridad. Más particularmente, en la tercera capa 306, el circuito conductor sensible a manipulación 316 puede comprender pistas conductoras que cubren sustancialmente la tercera capa 306 y que se extienden entre vías 318 en la parte 312 de conector y los puntos extremos 320. Dispuestas sobre los puntos extremos 320 en la segunda capa 304 hay vías 322, de manera que el circuito conductor sensible a manipulación 316 puede pasar a través de la segunda capa 304 a la primera capa 302. Allí, el circuito conductor sensible a manipulación 316 se puede extender desde las vías 324, lo que permite la conexión eléctrica con las pistas conductoras en la tercera capa 306, hasta cubrir sustancialmente la primera capa 302.
En esta realización, puede estar dispuesto un conmutador 326 en la primera capa 302. El conmutador 326 que, preferentemente, puede ser similar a los conmutadores 134 y 214, puede completar selectivamente un circuito de detección de extracción normalmente abierto 328, para el que puede haber dispuestas pistas conductoras 330 en la segunda capa 304. El conmutador 326 puede incluir placas conductoras 332 que entran en contacto con la periferia de una cúpula metálica 334 (figura 9). Cuando la cúpula metálica 334 es presionada, entra en contacto con otra placa conductora 336 para cerrar el circuito de detección de extracción 328. En particular, en la segunda capa 304, se extienden pistas conductoras 330 entre vías 338 en la parte 312 de conector y vías 340 en la parte 314 de conmutador. En la primera capa 302, el conmutador 326 está en comunicación eléctrica con las pistas 330 por medio de vías 342.
Haciendo referencia a continuación a la figura 8B, la cuarta capa 308 es la capa inferior del conjunto de circuitos flexible 300 y comprende, preferentemente, una serie de contactos en la parte 312 de conector para comunicación eléctrica con contactos correspondientes en una placa de circuito impreso 344 (figura 9). Por ejemplo, la cuarta capa 308 puede comprender cuatro contactos 346 en comunicación eléctrica con el circuito conductor sensible a manipulación 316 por medio de vías 318. Además, la cuarta capa 308 puede comprender dos contactos 348 en comunicación eléctrica con pistas conductoras 330 del circuito de detección de extracción 328 por medio de vías 350 en la tercera capa 306 y de vías 338 en la segunda capa 304. Asimismo, la cuarta capa 308 puede comprender un terminal de masa 352 que rodea las placas 346, 348. Finalmente, la cuarta capa 308 puede comprender un plano de cobre 354. Tal como apreciarán los expertos en la materia, el plano de cobre 354 se puede utilizar para apantallar frente a observación por rayos X del circuito conductor sensible a manipulación 316 y el circuito de detección de extracción 328.
Asimismo, de acuerdo con una realización alternativa del conjunto de circuitos flexible 300, la figura 8C es una vista superior de una quinta capa opcional 356 que se puede añadir sobre la primera capa 302. Igual que la cuarta capa 308, la quinta capa 356 puede comprender un plano de cobre 358. Sin embargo, tal como se muestra en la figura 8C, cuando está dispuesta la quinta capa 356, un conmutador análogo al conmutador 326 puede estar dispuesto en esta capa en lugar de en la primera capa 302 (que seguiría comprendiendo el circuito conductor sensible a manipulación 316). El plano de cobre 358 se pone a masa por medio de vías adecuadas (no mostradas en la figura 8C).
Notablemente, en la realización preferente del conjunto de circuitos flexible 300, la parte 314 de conmutador está fabricada como dos mitades 360, 362 de una “carcasa” antimanipulación. Más específicamente, las mitades 360, 362, que en esta realización son cuadradas pero pueden tener cualquier forma adecuada, pueden estar conectadas mediante una parte de articulación 364. Durante la fabricación, después de introducir la cúpula de metal 334 sobre las placas 332, 336, la mitad 360 se puede doblar en una parte articulada 364 y fijar sobre la correspondiente mitad 362 con adhesivo adecuado. (Ver también la figura 9). Por lo tanto, el conmutador 326 se puede incorporar en la carcasa antimanipulación, lo que proporciona seguridad adicional. En particular, debido al circuito conductor sensible a manipulación 316, cualquier intento de abrir, o acceder a esta “carcasa” antimanipulación romperá el circuito 316, provocando una respuesta a la manipulación. En otras palabras, una vez el conmutador 326 está “armado”, no se puede deshabilitar sin disparar una respuesta a la manipulación.
La figura 9 es una vista lateral esquemática que muestra la fijación del conjunto de circuitos flexible 300 a una placa de circuito impreso 344. La placa de circuito impreso 344 comprende, preferentemente, por lo menos dos capas que tienen circuitos conductores sensibles a manipulación dispuestos encima y debajo de los circuitos de la placa 344 de circuito, como es bien sabido. Por lo tanto, igual que los circuitos en el conjunto de circuitos flexible 300, los circuitos en la placa de circuito impreso 344 están completamente protegidos contra manipulación. Además, la placa de circuito impreso 344 comprende asimismo, preferentemente, un área segura que comprende circuitos de respuesta a la manipulación, que pueden ser análogos al área segura 154 descrita en detalle anteriormente. En la placa de circuito impreso 344, los conductores para el circuito de detección de extracción 328 se extienden, preferentemente, desde este área segura hasta el punto en que la parte 312 de conector del conjunto de circuitos flexible 300 se fijará a la placa de circuito impreso 344.
Más específicamente, la parte 312 de conector se puede fijar a la placa 344 de circuito en la posición deseada (indicada por flechas en la figura 9) utilizando adhesivo conductor 364. De ese modo, cualquier intento de extraer el conjunto de circuitos flexible 300 de la placa 344 de circuito romperá el circuito conductor sensible a manipulación 316 y/o abrirá el circuito completado por medio de adhesivo conductor 364, provocando por lo tanto una respuesta a la manipulación. Los expertos en la materia están familiarizados con adhesivo conductor 364 adecuado que permite, preferentemente, la conducción a través de su grosor pero no a través de su superficie.
Por lo tanto, una vez el circuito de detección de extracción 328, protegido por encima y debajo mediante el circuito conductor sensible a manipulación 316, se conecta utilizando adhesivo conductor 364 con conductores correspondientes en la placa de circuito impreso 344, protegida por encima y debajo mediante capas de circuito conductor sensible a manipulación, las señales para el circuito de detección de extracción 328 pasan entre el conmutador 326 y el área segura de la placa 344 de circuito a través de un “túnel seguro”. Además, utilizar adhesivo conductor 364 para fijar el conjunto de circuitos flexible 300 a la placa de circuito impreso 344 incrementa la flexibilidad en el montaje. Por ejemplo, el conjunto de circuitos flexible 300 se puede montar en cualquier lugar en la placa de circuito impreso 344, siempre que los circuitos para el circuito de detección de extracción 328 dentro de la placa de circuito impreso 344 estén protegidos por capas de circuitos conductores sensibles a manipulación. En otras palabras, gracias a la protección proporcionada por los circuitos conductores sensibles a manipulación en el conjunto de circuitos flexible 300 y en la placa de circuito, no es necesario montar el conjunto de circuitos flexible 300 en una posición indicada para proporcionar protección adicional contra manipulación, tal como bajo un cuerpo envolvente metálico.
Tal como se ha explicado anteriormente, en algunas realizaciones de la presente invención, la electrónica sensible a manipulación puede estar situada en el dispositivo de entrada al que está protegiendo el conjunto de circuitos flexible. Sin embargo, este no tiene por qué ser el caso. Un conjunto de circuitos flexible, según la presente invención, puede proteger un dispositivo de entrada pero estar en comunicación eléctrica con electrónica sensible a manipulación en otro dispositivo. Esto permite que un conjunto de circuitos flexible sea utilizado con cualquiera de los dispositivos que se pueden disponer en una interfaz de usuario, tal como la interfaz de usuario 74 descrita anteriormente, en muchas configuraciones diferentes.
Por ejemplo, la figura 10 es una vista, en perspectiva, del conjunto de circuitos flexible 300 en uso con un teclado numérico 366 y una pantalla 368. El teclado numérico 366 y la pantalla 368 pueden ser análogos al teclado numérico 78 y la pantalla 90 y, por lo tanto, pueden estar configurados para su montaje con un marco de un distribuidor de combustible, tal como el marco 76. En este caso, el teclado numérico 366 está acoplado con la placa 344 de circuito, a la que está fijada la parte 312 de conector en una posición que corresponde a una abertura 370 en el cuerpo envolvente metálico del teclado numérico 366. Sin embargo, la parte 314 de conmutador del conjunto de circuitos flexible 300 está acoplada a un armazón 372 de la pantalla 368, que linda con una superficie posterior, o interior, del marco. Cuando el teclado numérico 366 y la pantalla 368 se montan en el marco, la parte 314 de conmutador puede ser “intercalada” entre el armazón 372 y el marco para cerrar el conmutador 326. Por lo tanto, si se manipula la pantalla 368, provocando que se abra el circuito de detección de extracción 328, la electrónica sensible a manipulación en la placa 344 de circuito asociada con el teclado numérico 366 producirá una respuesta a la manipulación.
Aunque se han descrito anteriormente una o varias realizaciones preferentes de la invención, se comprenderá que cualesquiera y todas las realizaciones equivalentes de la presente invención están incluidas dentro del alcance de la misma. Las realizaciones mostradas se presentan solamente a modo de ejemplo y no están previstas como limitaciones a la presente invención. De este modo, los expertos en la materia comprenderán que la presente invención no se limita a estas realizaciones, dado que se pueden realizar modificaciones. Por lo tanto, se contempla que cualesquiera y la totalidad de dichas realizaciones están incluidas en la presente invención dado que caen dentro del alcance de la misma.

Claims (12)

REIVINDICACIONES
1. Sistema para detectar la extracción o la manipulación no autorizada, comprendiendo dicho sistema:
un dispositivo de entrada (110) que comprende electrónica sensible a manipulación (160) y memoria (158);
un conjunto de circuitos flexible (126; 200; 300) acoplado entre dicho dispositivo de entrada (110) y una estructura en la que está montado el dispositivo de entrada (110), comprendiendo dicho conjunto de circuitos flexible (126; 200; 300):
una capa exterior (136; 204; 302); y caracterizado por que dicho conjunto de circuitos flexible (126; 200; 300) comprende, además:
una primera capa interior (138; 208; 304) dispuesta entre dicho dispositivo de entrada (110) y dicha capa exterior (136; 204; 302), comprendiendo dicha primera capa interior (138; 208; 304) por lo menos un conmutador (134; 214; 314);
un cable (128; 202; 310) acoplado con dicho conjunto de circuitos flexible (126; 200; 300) y conectado operativamente a dicha electrónica sensible a manipulación (160) de dicho dispositivo de entrada (110);
en el que dicha capa exterior (136; 204; 302) de dicho conjunto de circuitos flexible (126; 200; 300) y dicho cable (128; 202; 310) comprenden un primer circuito conductor sensible a manipulación (140; 148; 210; 212; 316); y en el que dicho, por lo menos, un conmutador (134; 214; 326) y dicho primer circuito conductor sensible a manipulación (140; 148; 210; 212; 316) están en comunicación eléctrica con dicha electrónica sensible a manipulación (160) por medio de dicho cable (128; 202; 310).
2. Sistema, según la reivindicación 1, en el que dicho cable (128; 202; 310) es una parte integral de dicho conjunto de circuitos flexible (126; 200; 300).
3. Sistema, según la reivindicación 1, en el que dicho, por lo menos, un conmutador (134; 214; 326) está configurado para cerrar un circuito de detección de extracción (162; 328) en comunicación eléctrica con dicha electrónica sensible a manipulación (160) cuando dicho dispositivo de entrada (110) está montado en la estructura.
4. Sistema, según la reivindicación 3, en el que dicho, por lo menos, un conmutador (134; 214; 326) es un conmutador de membrana.
5. Sistema, según la reivindicación 3, en el que dicha estructura es un marco (76) del distribuidor de combustible.
6. Sistema, según la reivindicación 3, en el que dicha electrónica sensible a manipulación (160) está configurada para monitorizar características eléctricas de dicho circuito de detección de extracción (162; 328) y dicho primer circuito conductor sensible a manipulación (140; 148; 210; 212; 316).
7. Sistema, según la reivindicación 6, en el que dicha electrónica sensible a manipulación (160) está configurada para borrar dicha memoria (158) de dicho dispositivo de entrada (110) tras la detección de un cambio en una de dichas características eléctricas de cualquiera de dicho circuito de detección de extracción (162; 328) o dicho primer circuito conductor sensible a manipulación (140; 148; 210; 212; 316).
8. Sistema, según la reivindicación 1, en el que dicho conjunto de circuitos flexible (126; 200; 300) comprende, además, un circuito de detección de conductores extraños (164) en comunicación eléctrica con dicha electrónica sensible a manipulación (160) de dicho dispositivo de entrada (110), donde dicho circuito de detección de conductores extraños (164) está normalmente abierto.
9. Sistema, según la reivindicación 8, en el que dicha electrónica sensible a manipulación (160) de dicho dispositivo de entrada (110) está configurada para borrar dicha memoria (158) de dicho dispositivo de entrada (110) cuando se cierra dicho circuito de detección de conductores extraños (164).
10. Sistema, según la reivindicación 1, en el que dicho conjunto de circuitos flexible (126; 200; 300) comprende, además, una segunda capa interior (146; 208; 306) dispuesta entre dicho dispositivo de entrada (110) y dicha primera capa interior (138; 208; 304), comprendiendo dicha segunda capa interior (146; 208; 306) un segundo circuito conductor sensible a manipulación (140; 148; 210; 212; 316) en comunicación eléctrica con dicha electrónica sensible a manipulación (160) por medio de dicho cable (128; 202; 310).
11. Sistema, según la reivindicación 1, en el que dicho conjunto de circuitos flexible (126; 200; 300) comprende un circuito impreso flexible.
12. Sistema, según la reivindicación 1, en el que dicha primera capa interior (138; 208; 304) de dicho conjunto de circuitos flexible (126; 200; 300) comprende un solo conmutador (134; 214; 326).
ES12781772T 2011-05-11 2012-05-10 Disposición de detección de manipulación en un dispositivo de entrada de distribuidor de combustible Active ES2883903T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/105,557 US8786272B2 (en) 2011-05-11 2011-05-11 Fuel dispenser input device tamper detection arrangement
US13/467,592 US9166586B2 (en) 2012-05-09 2012-05-09 Fuel dispenser input device tamper detection arrangement
PCT/US2012/037283 WO2012154937A1 (en) 2011-05-11 2012-05-10 Fuel dispenser input device tamper detection arrangement

Publications (1)

Publication Number Publication Date
ES2883903T3 true ES2883903T3 (es) 2021-12-09

Family

ID=47139659

Family Applications (1)

Application Number Title Priority Date Filing Date
ES12781772T Active ES2883903T3 (es) 2011-05-11 2012-05-10 Disposición de detección de manipulación en un dispositivo de entrada de distribuidor de combustible

Country Status (4)

Country Link
EP (1) EP2707859B9 (es)
CN (2) CN103703494B (es)
ES (1) ES2883903T3 (es)
WO (1) WO2012154937A1 (es)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11695448B2 (en) 2014-07-31 2023-07-04 Gilbarco Inc. Fuel dispenser anti-skimming input device
JP6295190B2 (ja) * 2014-12-08 2018-03-14 日本電産サンキョー株式会社 カードリーダ
US10013582B2 (en) * 2014-12-29 2018-07-03 Verifone, Inc. Secure data entry device
US10172239B2 (en) * 2015-09-25 2019-01-01 International Business Machines Corporation Tamper-respondent sensors with formed flexible layer(s)
US10175064B2 (en) * 2015-09-25 2019-01-08 International Business Machines Corporation Circuit boards and electronic packages with embedded tamper-respondent sensor
CN105743640A (zh) * 2016-01-22 2016-07-06 广州御银科技股份有限公司 一种密钥保护模块
US10631419B1 (en) * 2019-02-13 2020-04-21 Diebold Nixdorf, Incorporated Mounting bracket for encrypted touch module
CN113003525A (zh) * 2021-03-11 2021-06-22 孙书玉 加油机输入设备篡改检测装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7703201B2 (en) * 2004-10-25 2010-04-27 International Business Machines Corporation Method of embedding tamper proof layers and discrete components into printed circuit board stack-up
US7151461B2 (en) * 2004-10-29 2006-12-19 Honeywell International, Inc. Magnetic contact tamper switch for security accessories
KR20060046933A (ko) * 2004-11-12 2006-05-18 노틸러스효성 주식회사 핀패드 모듈의 보호장치
US20070271544A1 (en) * 2006-05-19 2007-11-22 Rolf Engstrom Security sensing module envelope
US8009032B2 (en) * 2006-11-21 2011-08-30 Gilbarco Inc. Remote display tamper detection using data integrity operations
US20080278353A1 (en) * 2007-05-11 2008-11-13 Measurement Specialties, Inc. Tamper resistant electronic transaction assembly
WO2010111655A1 (en) * 2009-03-26 2010-09-30 Hypercom Corporation Keypad membrane security

Also Published As

Publication number Publication date
EP2707859A4 (en) 2014-12-03
EP2707859B1 (en) 2021-03-03
CN107092844A (zh) 2017-08-25
WO2012154937A1 (en) 2012-11-15
CN103703494B (zh) 2017-04-12
CN103703494A (zh) 2014-04-02
EP2707859A1 (en) 2014-03-19
EP2707859B9 (en) 2021-08-11
CN107092844B (zh) 2020-09-29

Similar Documents

Publication Publication Date Title
US9166586B2 (en) Fuel dispenser input device tamper detection arrangement
ES2883903T3 (es) Disposición de detección de manipulación en un dispositivo de entrada de distribuidor de combustible
US8786272B2 (en) Fuel dispenser input device tamper detection arrangement
US20200112343A1 (en) Fuel Dispenser Anti-Skimming Input Device
US8874937B2 (en) Fuel dispenser user interface
US10977392B2 (en) Fuel dispenser user interface system architecture
US8411448B2 (en) Security protection device and method
US8881046B2 (en) Virtual pin pad for fuel payment systems
ES2210139T3 (es) Membrana elastomera antiintrusion para cajas electronicas aseguradas.
US20080099556A1 (en) Card Having Password Input Key
US20080290152A1 (en) Fuel dispenser with intelligent switch
WO2008063929A2 (en) Projected user input device for a fuel dispenser and related applications
US20120166343A1 (en) Fuel dispensing payment system for secure evaluation of cardholder data
EP1801723B1 (en) Device for verifying an identification code
US20220083747A1 (en) Fuel dispenser fraud detection apparatus and method
ES2606502T3 (es) Aseguramiento de un dispositivo de pago electrónico