PT1333408E

PT1333408E - Sistema e equipamento para personalização de cartões inteligentes

Info

Publication number: PT1333408E
Application number: PT03075844T
Authority: PT
Inventors: David R Tushie; William W Haeuser
Original assignee: Nbs Technologies Us Inc
Priority date: 1996-04-15
Filing date: 1997-04-14
Publication date: 2007-01-31
Also published as: EP0894312A4; NO984821L; DE69720201D1; US20030050899A1; WO1997039424A1; HK1021424A1; US6014748A; DE69720201T2; AU717870B2; US20110166999A1; NZ332406A; EP0894312B1; ATE341052T1; PT894312E; NO984821D0; JP2000508794A; CN1187709C; NO330751B1; DE69736752T2; US20070118474A1

Description

ΡΕ1333408 1 DESCRIÇÃO "SISTEMA E EQUIPAMENTO PARA PERSONALIZAÇÃO DE CARTÕES INTELIGENTES"

Campo da Invenção A presente invenção relaciona-se com dispositivos de armazenamento de dados e em particular com a produção de suportes de dados programados portáteis tais como cartões de crédito, cartões de débito, cartões de identificação, e outros cartões de transacção.

Antecedentes da Invenção

Um número crescente de organizações que emitem cartões de transacção para os seus utilizadores, clientes, ou colaboradores necessitam de cartões ajustados de acordo com os requisitos do seu serviço ou aplicação especifica. Estas organizações também desejam que os cartões contenham dados sobre o titular do cartão. Os cartões de transacção existentes codificam esses dados numa banda magnética no verso do cartão mas o conjunto de dados que pode ser mantido numa banda magnética é limitado. Um novo tipo de cartão de transacção embebe um chip computorizado de microprocessador no plástico do cartão para aumentar substancialmente a capacidade de armazenamento de dados do 1 ΡΕ1333408 cartão. Adicionalmente, aplicações de cartões sofisticadas especificas relativamente ao emissor do cartão podem executar-se em determinadas variedades dos chips, e o chip pode também conter um tipo de sistema operativo. Os cartões de transacção com chips embebidos são referidos na indústria como suportes de dados programados portáteis, mais usualmente chamados "cartões inteligentes". 0 chip num cartão inteligente é programado com dados de inicialização e/ou personalização ao mesmo tempo que a superfície do cartão é gravada e/ou impressa.

Os dados de inicialização compreendem três grandes tipos de informação: dados aplicacionais, dados de segurança, e dados impressos. Os dados aplicacionais são comuns em todos os cartões para uma dada aplicação de cartão e incluem código e variáveis de programação da aplicação. Os dados de segurança evitam o uso fraudulento do cartão e é geralmente providenciado na forma de "chaves seguras". Os dados impressos, tais como um logótipo, códigos de barras, e vários tipos de informação numérica, são colocados na superfície do cartão. Alguns ou todos os dados podem também ser gravados na superfície. Pode igualmente ser empregue tecnologia óptica no sentido de tornar parte ou a totalidade da superfície do cartão num suporte de armazenamento com dados acessíveis através de um leitor óptico adequado.

Os cartões inteligentes são também programados com informação específica de um titular individual através 1 ΡΕ1333408 de um processo chamado "personalização". A informação de personalização para um cartão inteligente é similar à informação de personalização contida actualmente em cartões não inteligentes, tais como o nome do titular, número de conta, data de validade do cartão, e uma fotografia. Devido à sua maior capacidade de armazenamento, o chip num cartão inteligente pode conter dados adicionais para além da informação básica no cartão de transacção comum incluindo uma representação gráfica da assinatura do indivíduo, dados definindo os tipos de serviço a que o titular tem direito, e limites de conta para esses serviços. O processo de emissão de cartões inteligentes deve controlar e comunicar sobre cada cartão personalizado e sobre os resultados do processo de personalização. Deverão portanto ser mantidos ficheiros de relatórios e auditorias detalhados no sentido de suportar os requisitos de rastreio do cartão.

Actualmente, um sistema de emissão de cartões inteligentes deve ser ajustado para ir de encontro aos requisitos de uma aplicação de cartão específica que irá ser programada num tipo específico de cartão inteligente sob o controlo de um sistema operativo de cartão específico e para formatar os dados para o cartão ser compatível com um tipo específico de equipamento de personalização escolhido para emitir o cartão. 0 sistema de emissão inteiro deverá ser reconfigurado sempre que uma destas variáveis (aplicação do emissor, sistema operativo do 1 ΡΕ1333408 cartão inteligente/cartão, e/ou equipamento de personalização) for alterada, aumentando o tempo e custo que o emissor do cartão incorre na entrega de cartões inteligentes personalizados aos seus clientes. Adicionalmente, falta a muitos dos sistemas actuais de emissão um meio viável para providenciar comentários dinâmicos ao emissor dos cartões em relação ao estado de qualquer lote particular de cartões no processo.

Adicionalmente, os sistemas de emissão de cartões inteligentes utilizados actualmente usam uma aproximação proprietária desenvolvida ou pelo fabricante dos cartões ou pelo fabricante de equipamento de personalização. Para encorajar as vendas dos respectivos cartões ou equipamento, cada fabricante desenvolve uma solução de personalização única para uma aplicação de cartão em particular, e cada solução é específica para um dado emissor de cartões. Pretende-se com estas soluções únicas optimizar o desempenho dos cartões ou equipamento e portanto não permitir um processo de personalização mais inclusivo e generalizado que aceite qualquer sistema operativo de cartão e/ou trabalhe com qualquer equipamento de personalização. 0 documento US-A-4874935 divulga a programação de cartões inteligentes utilizando um programa utilitário correndo num computador pessoal, para interagir com um programa de controlo correndo no cartão para introduzir informação usada para criar um dicionário de dados, e para 1 ΡΕ1333408 escrever dados incluindo dados personalizados de utilizador na memória do cartão utilizando o dicionário de dados como um modelo. 0 processo depende do cartão ser de um tipo especifico uma vez que o programa de controlo é programado no microprocessador do cartão através de equipamento do programa antes do microprocessador ser embebido no cartão. À medida que a procura de cartões inteligentes aumenta, é necessário um sistema de emissão de cartões inteligentes que permita aos emissores dos cartões utilizar qualquer tipo de equipamento de personalização para lidar com múltiplos tipos de cartões inteligentes, e com os seus sistemas operativos acompanhantes, e para embeber as aplicações de cartão especificas dos emissores assim como os dados do titular requeridos em qualquer um dos vários tipos de cartões inteligentes.

Sumário da Invenção

Um sistema de personalização de cartões inteligentes mantém uma base de dados contendo dados de aplicações de cartão, dados de modelos de formatação, dados de sistemas operativos de cartão, e dados de equipamentos de personalização para permitir a um emissor de cartões alterar dinamicamente as aplicações dos cartões, cartões e sistemas operativos dos cartões, e/ou equipamento de personalização num processo de emissão de cartões sem a necessidade de modificar o interface do emissor de cartões para o processo de emissão. 1 ΡΕ1333408 O sistema de personalização de cartões inteligentes emite suportes de dados programados portáteis, ou cartões inteligentes, adquirindo em primeiro lugar um identificador do formato dos dados, um identificador do sistema operativo do cartão, um identificador do equipamento de personalização, um identificador ou identificadores de programa de aplicação, e dados de personalização para um titular de um cartão de um sistema de gestão de emissão de cartões. Os identificadores permitem que o sistema possa endereçar dados armazenados numa estrutura de dados, tal como uma base de dados, e especificar os dados específicos necessários ao sistema para a emissão de cada cartão. Porque cada emissor de cartões formata os seus dados de personalização de forma diferente e pode ter múltiplos formatos de dados, o sistema de personalização de cartões inteligentes tem uma base de dados de modelos de formatação de dados que lhe permitem interagir com múltiplos sistemas de gestão de emissão de cartões. 0 sistema adquire o modelo de formatação definindo os dados de personalização utilizados por um emissor de cartões específico a partir de um registo na base de dados identificado pelo identificador do formato dos dados. 0 sistema utiliza o modelo de formatação de dados para traduzir os dados de personalização a partir do formato do emissor de cartões para um formato interno reconhecido pelos componentes do sistema. 0 sistema utiliza o identificador do sistema operativo do cartão e o(s) identificador(es) do programa de aplicação para adquirir 1 ΡΕ1333408 comandos de controlo de programação para um sistema operativo previamente carregado num chip microprocessador embebido no cartão, e dados de aplicação, na forma de código e/ou variáveis, para um tipo ou tipos de programa de aplicação a partir da base de dados. 0 sistema também adquire os dados caracteristicos do equipamento para o equipamento de personalização ser utilizado para emitir o cartão inteligente utilizando o identificador do equipamento de personalização. Uma vez que o sistema tenha adquirido todos os dados necessários para emitir o cartão inteligente transfere os comandos de controlo de programação, o código e variáveis da aplicação, e os dados de personalização traduzidos para o equipamento de personalização tal como especificado pelos dados caracteristicos do equipamento.

Alternativamente, nenhum identificador de formatação de dados é passado pelo emissor porque o modelo de formatação dos dados deriva dos dados no registo de dados da aplicação ou porque o formato da personalização corresponde numa base de um-para-um com o formato interno utilizado pelo sistema. 0 emissor dos cartões pode igualmente substituir o registo do modelo de formatação de dados para o identificador de formatação dos dados de modo a que o sistema não necessite de referenciar a sua base de dados de registos de formatação.

Outra funcionalidade do sistema de personalização de cartões inteligentes é a sua função de gestão de 1 ΡΕ1333408 cartões. O sistema de personalização de cartões inteligentes recolhe informação relacionada com o processo de emissão de cartões e comunica esta informação ao sistema de gestão do emissor de cartões.

Os cartões inteligentes podem incluir uma ou mais "chaves seguras" que são programadas no chip para evitar uma utilização fraudulenta do cartão. Os dados apropriados da chave segura são obtidos pelo sistema de personalização de cartões inteligentes a partir de registos de chaves seguras mantidos pelo emissor de cartões, ou outra fonte de segurança, e transferidos de seguida para o equipamento de personalização. A fonte de segurança também providencia funções de segurança que são utilizadas pelo sistema de personalização de cartões inteligentes no sentido de garantir a integridade e a confidencialidade dos dados durante a sua transmissão de e para o sistema e no interior do sistema durante o processo de personalização de cartões inteligentes. 0 sistema de gestão de cartões inteligentes executa as funções descritas acima através de uma série de módulos de software em execução num computador ou em múltiplos computadores. Um módulo é um interface de um sistema de gestão de um emissor de cartões que adquire o identificador de formatação dos cartões, o identificador do sistema operativo do cartão, o identificador do equipamento de personalização, o(s) identificador(es) dos programas aplicativos e os dados de personalização para um titular a 1 ΡΕ1333408 partir do sistema de gestão do emissor de cartões. O interface do sistema de gestão do emissor de cartões utiliza então o identificador do formato dos dados para adquirir o modelo do formato que define os dados de personalização e traduz os dados de personalização para o formato de dados interno comum. Um módulo de interface do sistema operativo de um cartão adquire os comandos de controlo de programação para o tipo de sistema operativo do cartão especificado pelo identificador do sistema operativo do cartão. Um módulo de interface de aplicação de um cartão utiliza o(s) identificador(es) do programa aplicativo para determinar que tipo(s) de programa(s) aplicativo(s) deve(m) ser colocado(s) no cartão e adquire as variáveis e código da aplicação especificada. Um módulo de interface de equipamento de personalização é responsável pela aquisição dos dados caracteristicos do equipamento para o tipo de equipamento de personalização especificado pelo identificador do equipamento de personalização e ainda pela transferência dos comandos de controlo de programação, das variáveis e do código da aplicação, e dos dados de personalização traduzidos para o equipamento de personalização de acordo com os requisitos estipulados pelos dados caracteristicos do equipamento.

As funções de segurança e de comunicação são providenciadas por um módulo de rastreio/comunicação e por um módulo de gestão de chaves seguras. 0 sistema de personalização de cartões 1 ΡΕ1333408 inteligentes utiliza uma estrutura de dados subjacente, tal como uma base de dados, residindo num suporte de armazenamento informático para organização dos dados necessários à emissão dos cartões inteligentes. A estrutura de dados compreende diversos tipos diferentes de elementos de dados e utiliza "índices" ou "identificadores" para rapidamente aceder a dados específicos. Existem quatro elementos de dados principais no sistema: um elemento de formatação de dados, um elemento de sistema operativo do cartão, um elemento de programa aplicativo, e um elemento de equipamento de personalização. 0 elemento de formatação de dados contém um modelo que define o formato dos dados de personalização utilizados pelo emissor dos cartões. 0 elemento de formatação de dados pode ser armazenado numa base de dados contendo elementos de formatação de dados para vários emissores de cartões e a informação armazenada no elemento de formatação de dados é acedida através do identificador de formatação de dados. Alternativamente, o elemento de formatação de dados pode ser derivado na altura em que o cartão é emitido a partir de dados no(s) elemento(s) de programa aplicativo de modo a que o(s) identificador(es) de programa aplicativo passados pelo emissor dos cartões identifique a formatação dos dados. Quando a formatação dos dados de personalização corresponde exactamente à formatação interna utilizada pelo sistema de personalização de cartões inteligentes, o modelo de formatação de dados 1 ΡΕ1333408 está implícito logicamente o que cria um elemento de formatação de dados virtual para o processo de emissão. 0 elemento de sistema operativo do cartão mantém os comandos de controlo de programação que dirigem os sistemas operativos de cartões que controlam um chip de cartão inteligente e é acedido através do identificador de sistema operativo do cartão. 0(s) elemento(s) de programa aplicativo contém dados de aplicação, tais como código e variáveis do programa, requeridos pelas aplicações associadas com vários emissores de cartões; os dados de aplicação são acedidos através de identificador(es) de programa aplicativo.

Os parâmetros operacionais para vários tipos de equipamentos de personalização utilizados para emitir cartões inteligentes são armazenados no elemento de equipamento de personalização e acedidos através de um identificador de equipamento de personalização correspondendo ao tipo de equipamento de personalização a ser utilizado durante um processo de emissão.

Configurações especiais do sistema de personalização de cartões inteligentes suportam emissores de cartões que não necessitam da flexibilidade total do sistema descrito acima. O sistema de personalização de cartões 1 ΡΕ1333408 inteligentes endereça a fraqueza na técnica anterior providenciando um interface centralizado de entradas e saídas para o processo de personalização de cartões inteligentes que está desenhado para acomodar dinamicamente alterações no processo de emissão. 0 sistema interage com qualquer sistema de gestão de emissores, gere a transferência de dados de titulares e aplicações de cartões para o equipamento de personalização utilizado em particular, e colecciona estatísticas para inquirições em tempo real e fora de linha para suportar gestão crítica e funções de comunicação. O sistema mantém uma base de dados de formatações de dados de emissores, sistemas operativos de cartões, programas aplicativos de cartões, e tipos de equipamento de personalização. Esta base de dados permite que o sistema lide com qualquer combinação ou permutações dos dados, melhorando assim os custos e o tempo de colocação no mercado do emissor. Adicionalmente, o sistema interage com várias metodologias de segurança de cartões para reduzir as fraudes.

Breve Descrição dos Desenhos A Figura IA é um diagrama de blocos representando um processo de emissão de cartões inteligentes que incorpora um sistema de personalização de cartões inteligentes. A Figura 1B é um diagrama de blocos funcional de ligações de entrada e saída para o sistema de 1 ΡΕ1333408 personalização de cartões inteligentes mostrado na Figura IA. A Figura 1C é um diagrama de blocos funcional mostrando módulos de software e estruturas de dados que compreendem uma forma de realização do sistema de personalização de cartões inteligentes mostrado na Figura 1B. A Figura 2 é o diagrama de blocos funcional da forma de realização da Figura 1C com a adição de um módulo de segurança para gerir chaves utilizadas para cartões inteligentes. A Figura 3 é um diagrama de blocos funcional de outra forma de realização do sistema de personalização de cartões inteligentes mostrando uma configuração mínima para gerir múltiplos tipos de cartões e de equipamentos de personalização. A Figura 4 é o diagrama de blocos funcional da forma de realização da Figura 3 com a adição de um módulo para gerir múltiplos sistemas operativos de cartões. A Figura 5 é o diagrama de blocos funcional da forma de realização da Figura 4 com a adição do módulo de segurança. A Figura 6 é o diagrama de blocos funcional da 1 ΡΕ1333408 forma de realização da Figura 3 com a adiçao de um módulo para gerir múltiplas aplicações de cartões. A Figura 7 é o diagrama de blocos funcional da forma de realização da Figura 6 com a adição do módulo de segurança. A Figura 8 é um gráfico de fluxo de alto nível para software informático que implementa as funções do sistema de personalização de cartões inteligentes. A Figura 9 é um diagrama de blocos funcional de uma forma de realização alternativa do sistema de personalização de cartões inteligentes utilizando módulos de software e registos de dados. A Figura 10 é um gráfico de fluxo de alto nível para software informático que implementa as funções da forma de realização do sistema de personalização de cartões inteligentes mostrada na Figura 9. A Figura 11 é um gráfico de campos de dados para um registo de modelo de estrutura utilizado pela forma de realização do sistema de personalização de cartões inteligentes mostrado na Figura 9. A Figura 12 é um gráfico de campos de dados para um registo de modelo de formatação de dados utilizado pela forma de realização do sistema de personalização de cartões inteligentes mostrado na Figura 9. 1 ΡΕ1333408 A Figura 13 é um gráfico de campos de dados para um registo de modelo de dados de aplicações de cartões utilizado pela forma de realização do sistema de personalização de cartões inteligentes mostrado na Figura 9. A Figura 14 é uma formatação de comunicação mostrando itens de amostra seguidos pelo sistema de personalização de cartões inteligentes.

Descrição das Formas de Realização

Na descrição detalhada seguinte das formas de realização, é feita referência aos desenhos acompanhantes que dela formam parte, e nas quais são mostradas através de ilustrações formas de realização específicas nas quais a invenção pode ser praticada. Estas formas de realização são descritas em detalhe suficiente para permitir aos especializados na técnica praticarem a invenção, e deverá ser compreendido que podem ser utilizadas outras formas de realização e que podem ser feitas alterações estruturais, lógicas e eléctricas sem afastamento do espírito e do âmbito das presentes invenções. A descrição detalhada seguinte não deve, portanto, ser considerada num sentido limitado, e o âmbito das presentes invenções é definido apenas pelas reivindicações em apêndice. 0(s) digito(s) prevalecente(s) dos números de 1 ΡΕ1333408 referência nas Figuras corresponde geralmente ao número da figura, com a excepção de que componentes idênticos que aparecem em múltiplas figuras são identificados pelos mesmos números de referência.

Emitindo Cartões Inteligentes

Os cartões de transacção Standard tais como cartões de crédito vulgares são familiares à maioria das pessoas. Um cartão de transacção geralmente possui informação sobre o titular, como o nome e o número da conta, impressos e/ou gravados na superfície do cartão. Os cartões de transacção contêm frequentemente uma banda magnética que também está codificada com os dados do titular. 0 processo de impressão/gravação/codificação dos dados do titular em cada cartão de transacção é conhecido como "personalização". Cada cartão de transacção é também sujeito a um processo conhecido como "inicialização" no qual certos tipos de informações comuns a todos os cartões num lote, tal como um identificador de um emissor e número de lote, são colocados no cartão.

Um cartão inteligente difere de um cartão de transacção Standard pelo facto de um chip microprocessador informático estar embebido no plástico do cartão para aumentar grandemente a capacidade de armazenamento de dados do cartão. Em algumas variedades de cartões inteligentes, o fabricante do cartão carrega previamente o chip com um de entre vários sistemas operativos possíveis e o sistema 1 ΡΕ1333408 operativo controla a programação do chip durante o processo de personalização. Adicionalmente, aplicações sofisticadas de cartão especificas do emissor de cartões podem ser executadas em certas variedades dos chips.

Os dados de inicialização para um cartão inteligente compreendem três grandes tipos de informação: dados de aplicação, dados de segurança, e dados impressos. Os dados de aplicação são comuns a todos os cartões para uma dada aplicação de cartão e incluem código e variáveis de programa aplicativo que são programados no chip. Os dados de segurança, geralmente providenciados como chaves seguras ou funções de segurança, validam os dados no cartão e previnem uma utilização fraudulenta do cartão. Os dados impressos, tal como um logótipo, códigos de barras, e vários tipos de informação numérica, são impressos na superfície do cartão. Alguns ou todos os mesmos dados podem também ser gravados na superfície. Pode também ser empregue tecnologia óptica para fazer parte da superfície do cartão inteligente para um suporte de armazenamento com dados acessíveis por um leitor óptico apropriado. A informação de personalização para um cartão inteligente é similar à informação de personalização contida actualmente em cartões não inteligentes, tal como o nome do titular, o número da conta, a data de validade do cartão, e uma fotografia. Devido à sua capacidade de armazenamento aumentada, o chip num cartão inteligente pode conter dados adicionais para além da informação básica no 1 ΡΕ1333408 cartão de transacção Standard incluindo uma representação gráfica da assinatura do indivíduo, dados esses definindo os tipos de serviço a que o titular tem direito, e os limites da conta para esses serviços.

Sistema de Personalização de Cartões Inteligentes A Figura IA mostra componentes de um processo de emissão de cartões inteligentes que incorpora uma forma de realização do sistema de personalização de cartões inteligentes da presente invenção. O sistema de personalização de cartões inteligentes 100 recebe dados de um sistema de gestão de um emissor de cartões 150 (tipicamente proprietário do emissor de cartões), traduz os dados num fluxo de dados, e exporta o fluxo de dados para o equipamento de personalização 130 que personaliza os cartões inteligentes 160. O sistema de gestão do emissor de cartões 150 gere os dados do titular e determina o tipo de cartão para emitir, as aplicações de cartão para embeber no cartão, e que equipamento de personalização utilizar para emitir o cartão para um titular específico. O sistema de gestão do emissor de cartões é frequentemente um programa informático tal como ilustrado na Figura IA, mas o sistema de personalização de cartões inteligentes 100 é capaz de receber dados de origens alternativas, tais como uma pessoa introduzindo os dados a partir do teclado de um telefone. O sistema de personalização de cartões inteligentes 100 é ilustrado na Figura IA como um programa 1 ΡΕ1333408 de software correndo num computador. Tal como descrito abaixo, o sistema de personalização de cartões inteligentes 100 acede a registos de bases de dados que definem vários tipos de cartões e sistemas operativos de cartões, aplicações de cartões, e equipamento de personalização.

As funções lógicas do software e da base de dados podem ser distribuídas entre computadores numa rede cliente/servidor ou centralizadas num único processador. As funções podem também ser distribuídas entre processadores ligados através redes de área local Standard, redes de área alargada, linhas telefónicas dedicadas ou outros meios de comunicação utilizados para agrupar livremente os processadores. 0 programa de software corre sob um sistema operativo tal como Unix, Windows 95®, ou Windows NT®, e em hardware Standard de estações de trabalho e/ou computadores pessoais. 0 sistema 100 controla impressoras de cartões, dispositivos de gravação, e dispositivos adicionais de interface de cartões inteligentes colectivamente representados na Figura IA como o sistema de personalização 130. O equipamento de personalização 130 também representa tais dispositivos como gravadores/impressoras de cartões de grande volume, gravadores/impressoras de cartões de pequeno volume, terminais de pagamento automático (ATMs), terminais de ponto de venda, quiosques sem vigilância, computadores pessoais, computadores de rede, e dispositivos de telecomunicações em linha. Devido ao seu investimento em 1 ΡΕ1333408 equipamentos de personalização de cartões não inteligentes existentes, muitos emissores de cartões não adquirem equipamentos de personalização de cartões inteligentes completamente novos, mas em vez disso aumentam os seus equipamentos de personalização existentes com um dispositivo de interface de cartões inteligentes que programa o chip no cartão enquanto o dispositivo mais antigo executa as funções de impressão e gravação. Numa tal configuração, o sistema informático realizando o sistema de personalização de cartões inteligentes 100, ou "nó", pode ser fisicamente ligado a ambos os dispositivos ou a apenas um dos dispositivos. Neste último caso, o nó controla o dispositivo ligado directamente e tem uma ligação lógica ao outro. A ligação fisica entre os dispositivos e o nó varia de acordo com o fabricante e modelo do dispositivo. As ligações comuns Standard da indústria incluem RS232 série, SCSI (Small Computer System Interface), Ethernet, e TTL (Transístor-Transístor Logic) série. Adicionalmente, alguns dispositivos requerem uma ligação de barramento proprietária.

As ligações entre o sistema de personalização de cartões inteligentes 100 e o sistema de gestão de cartões 150 e os dispositivos 130 podem também ser implementada através de redes de área local Standard, redes de área alargada Standard, linhas telefónicas dedicadas Standard, ou outra infraestrutura de comunicação remota utilizada para transferir dados. A utilização de tais ligações remotas quando se personalizam cartões inteligentes é 1 ΡΕ1333408 descrita na Patente dos Estados Unidos No. 5,534,857, atribuída em 9 de Julho de 1996 a Laing, et al. Ligações alternativas ficarão aparentes aos especializados na técnica e estão no âmbito da invenção. A Figura 1B é um diagrama de blocos de uma forma de realização do sistema de personalização de cartões inteligentes ilustrando as ligações lógicas entre o sistema de personalização de cartões inteligentes 100 e funções empregues por uma organização de emissão de cartões para emitir cartões inteligentes. Os dados dos titulares mantidos pela organização emissora de cartões contêm informação sobre cada titular individual, tal como o nome, número da conta, data de validade do cartão, e serviços aplicáveis. São mostradas a tracejado várias maneiras de introduzir os dados dos titulares no sistema de gestão do emissor de cartões 150 como dados de titulares 152 na Figura 1B. O sistema de gestão do emissor de cartões 150 pode receber os dados dos titulares em suporte informático, tal como fita magnética, disquete ou CD ROM. Alternativamente, os dados de titulares 152 podem ser introduzidos através de uma ligação em linha tal como uma rede telefónica genérica comutada, uma rede de comutação de pacotes, i.e., a Internet, uma linha dedicada, ou um sinal de televisão por cabo/satélite. Formas adicionais nas quais os dados de titulares 152 podem ser introduzidos no sistema 150 ficarão aparentes aos especialistas na técnica.

Em adiçao ao sistema de gestão do emissor de 1 ΡΕ1333408 cartões 150, o emissor de cartões tipicamente tem uma capacidade de comunicação 154 com a qual o sistema de personalização de cartões inteligentes 100 interage de modo a que o emissor de cartões possa rever informação estatística mantida pelo sistema 100. Uma fonte de segurança externa, também providenciada pelo emissor de cartões e mostrada como gestor de chaves seguras 111 e base de dados de chaves seguras 128, providencia funções de segurança que trabalham em conjunção com o sistema de gestão do emissor de cartões 150 e com o sistema de personalização de cartões inteligentes 100. A Figura 1B também ilustra uma forma de realização alternativa do sistema de personalização de cartões inteligentes 100 que suporta um emissor de cartões com dispositivos adicionais de interface de cartões inteligentes. O sistema 100 direcciona uma porção da informação de personalização para o equipamento de personalização mais antigo 130 e os dados remanescentes a um pós-processador 132 no dispositivo de interface de cartão inteligente 132 que programa o chip. Estas funções são explicadas abaixo em detalhe.

As formas de realização do programa de software para o sistema de personalização de cartões inteligentes 100 mostradas na função das Figuras seguintes como combinações de módulos de código com cada módulo executando uma parte específica do processo de emissão. Nestas formas de realização, os módulos são agrupados através de chamadas do programa definidas de entrada e saída, e são também agrupados com as estruturas de dados através de comandos de 1 ΡΕ1333408 procura de dados Standard que providenciam acesso aos dados armazenados nas estruturas de dados. Os protocolos de comunicações entre os módulos, e entre os módulos e as estruturas de dados variam dependendo da linguagem na qual os módulos são escritos e sobre o sistema de gestão de dados subjacente empregue para suportar a base de dados. A Figura 1C é um diagrama de blocos funcional em maior detalhe do sistema de personalização de cartões inteligentes 100 da Figura 1B sem as funções externas de segurança. A Figura 1C mostra as ligações internas entre os módulos de software e os registos da base de dados que permitem ao sistema de personalização de cartões inteligentes 100 combinar múltiplos tipos de formatações de dados de emissores, sistemas operativos de cartões, aplicações de cartões e equipamentos de personalização quando emitindo cartões inteligentes. 0 sistema de personalização de cartões inteligentes 100 providencia um interface de gestão de emissores de cartões 101 adaptado a um sistema de gestão de emissores de cartões 150. Nesta forma de realização, o sistema de gestão de emissores de cartões 150 passa dados de personalização a partir de uma base de dados de titulares 152 para o sistema 100. Cada módulo de software no sistema 100 espera que os dados de personalização lhe sejam passados numa formatação interna específica. Porque os dados de personalização estão numa formatação externa definida pelo emissor dos cartões que difere com frequência 1 ΡΕ1333408 do(s) formato(s) interno(s) esperado(s) pelos módulos de software, os dados de personalização são traduzidos pelo sistema 100 para o(s) formato(s) interno(s) utilizando o modelo de formatação de dados. O sistema 100 pode adquirir o modelo de formatação de dados através de um identificador de formatação de dados passado pelo emissor de cartões que o sistema 100 utiliza para adquirir um registo de modelo de formatação de dados opcional 120 (mostrado em linhas invisíveis na Figura 1C) tal como ilustrado por uma ligação opcional entre o registo 120 e o interface do sistema de gestão do emissor de cartões 101. Alternativamente o emissor de cartões passa o registo do modelo de formatação de dados ao sistema 100 em vez do identificador de formatação de dados. Noutra forma de realização, o modelo de formatação de dados pode ser derivado a partir dos dados no registo de aplicações de cartões 124 que é especificado por um identificador de programa aplicativo passado pelo emissor tal como ilustrado por uma ligação opcional entre a base de dados de aplicações de cartões 124 e o interface do sistema de gestão do emissor de cartões 101.

Numa forma de realização alternativa adicional da Figura 1C, as funções de segurança são providenciadas internamente ao sistema de personalização de cartões inteligentes 100, através da passagem de funções de segurança para o sistema como parte do registo de aplicações de cartões.

Uma forma de realização alternativa adicional na 1 ΡΕ1333408 qual a formatação de dados de personalização condiz com a formatação interna é também mostrada na Figura 1C. Porque nenhuma tradução entre os formatos externo e interno é necessária nesta forma de realização, não é necessário nenhum modelo de formatação de dados portanto o registo de formatação de dados 120 e as ligações entre o interface do sistema de gestão do emissor de cartões 101 e o registo de formatação de dados 120 e a base de dados de aplicações de cartões 124 não estão presentes. 0 registo de formatação de dados 120 pode ser composto de uma pluralidade de tabelas que instruem o sistema 100 sobre como fazer uma análise adequada dos dados de personalização ou uma lista simples que indica a ordem na qual os campos do registo de dados dos titulares aparecem irão ficar aparentes aos especialistas na técnica. Os vários procedimentos alternativos para determinar o formato dos dados de personalização descritos acima estão implícitos em todas as formas de realização do sistema de personalização de cartões inteligentes 100 aqui descrito.

Utilizando um identificador de cartão providenciado pelo sistema de gestão do emissor de cartões 150, um módulo de interface de sistema operativo de cartão 103 obtém comandos de controlo de programação específicos do sistema operativo de cartão 122 para o chip microprocessador que está embebido no tipo de cartão a ser emitido. Os comandos de controlo de programação dirigem a codificação do chip com os dados de personalização e a(s) aplicação(ões) de cartões escolhidas pelo emissor dos cartões. 1 ΡΕ1333408

Cada aplicação de cartões compreende dados de código e de variáveis de programa que são armazenados na base de dados como dados de aplicação 124 e são identificados por um identificador de programa aplicativo. 0 sistema de gestão do emissor de cartões 150 passa um ou mais identificadores de programas aplicativos ao sistema 100 que são utilizados por um módulo de interface de aplicação de cartões 105 para adquirir os dados de aplicação correspondentes 124. O equipamento de personalização que o emissor de cartões planeia utilizar para emitir o lote de cartões é definido por um identificador de equipamento de personalização. Um módulo de interface de equipamento de personalização 107 adquire os dados caracteristicos do equipamento 126 específicos do tipo de equipamento de personalização 130 correspondendo ao identificador do equipamento de personalização. O interface do equipamento de personalização 107 adquire também os comandos de controlo de programação, o código e variáveis da aplicação, e os dados de personalização traduzidos, e transfere todos estes dados para o equipamento de personalização 130 tal como especificado pelos dados caracteristicos do equipamento 126 para emitir o cartão inteligente.

Uma forma de realização alternativa do sistema 100 suporta um emissor de cartões que aumentou o seu equipamento de personalização existente com um dispositivo 1 ΡΕ1333408 de programação de cartões inteligentes tendo o interface de equipamento de personalização 107 a dirigir um subconjunto da informação de personalização traduzida para o equipamento de personalização mais antigo 130 e o remanescente dos dados para um pós-processador 132 no dispositivo de programação de cartões inteligentes. 0 sistema de personalização de cartões inteligentes 100 também providencia um módulo de rastreio/comunicação, ou motor, 109 que colecciona informação estatística a partir dos outros módulos no sistema 100 e formata a informação estatística para saída como relatórios em papel 154 ou como entrada a uma função de comunicação no sistema de gestão do emissor de cartões 150. Porque esta informação estatística se encontra a ser recolhida em tempo real, o sistema de gestão do emissor de cartões 150 pode interrogar interactivamente o módulo de rastreio/comunicação 109 para obter estatísticas sobre o sistema de personalização de cartões inteligentes enquanto se encontra em execução. Exemplos de itens monitorizados pelo módulo de rastreio/comunicação 109 são mostrados na Figura 14.

Numa forma de realização alternativa mostrada na Figura 2, o sistema de personalização de cartões inteligentes 100 inclui uma fonte de segurança na forma de um módulo de gestão de chaves seguras 111 e uma base de dados de chaves seguras 128. Quando é fabricado um cartão inteligente, o fabricante inclui arquitectura de segurança 1 ΡΕ1333408 no chip para evitar programação não autorizada. A implementação da arquitectura de segurança está normalmente dependente da(s) aplicação(ões) programada(s) no chip. Por exemplo, as chaves seguras programadas numa aplicação de valor armazenado seriam diferentes das chaves seguras programadas numa aplicação de cuidados de saúde. A implementação da arquitectura de segurança também varia dependendo do tipo de cartão: alguns cartões requerem uma única chave segura que permite a programação do chip enquanto que outros requerem múltiplas chaves seguras para permitir a programação do chip e para desempenhar funções de segurança adicionais. A Figura 2 ilustra as funções básicas do gestor de chaves seguras 111 quando interagindo com a arquitectura de segurança num cartão que requer múltiplas chaves seguras.

Tal como mostrado na Figura 2, os dados da chave segura são armazenados na base de dados de chaves seguras 128 que é externa em relação ao sistema de personalização de cartões inteligentes 100 e mantida pelo emissor de cartões ou por outra fonte de segurança. Estender o gestor de chaves seguras 111 para lidar com mais ou menos chaves seguras, e interagir com uma base de dados de chaves seguras gerida pelo próprio sistema de personalização de cartões inteligentes 100, está dependente da aplicação, do sistema operativo, e do equipamento de personalização a ser utilizado na aplicação de emissão de cartões especifica, e irá ficar aparente aos especialistas na técnica. 1 ΡΕ1333408 O gestor de chaves seguras 111 também providencia mecanismos adicionais para garantir a autenticação, a integridade, e a confidencialidade dos dados das chaves seguras. Numa forma de realização, a autenticação dos dados das chaves seguras é conseguida através da implementação de vários métodos de encriptação. A integridade dos dados das chaves seguras é conseguida através de mecanismos de assinatura digital que utilizam chaves públicas para garantir que os dados das chaves seguras são transmitidos e recebidos a partir de fontes seguras. A confidencialidade dos dados das chaves seguras é garantida através da encriptação dos dados transmitidos com uma chave privada que é partilhada com o receptor dos dados e a qual o receptor dos dados utiliza para desencriptar os dados após a sua recepção.

Após o sistema 100 receber um registo de chave segura da base de dados de chaves seguras 128, o gestor de chaves seguras 111, em conjunção com o interface de sistema operativo de cartão 103 e com o interface de aplicação de cartão 105, desempenha as funções de autenticação, integridade dos dados e confidencialidade dos dados de chaves seguras. 0 sistema 100 transfere então os dados de chaves seguras para o equipamento de personalização 130 através do interface de equipamento de personalização 107 assim como os outros dados para o cartão.

Numa forma de realização alternativa, o gestor de chaves seguras 111 passa informação de segurança aos outros 1 ΡΕ1333408 módulos do sistema de personalização de cartões inteligentes 100. Por exemplo, porções dos dados dos titulares, tais como o código PIN (Número de Identificação Pessoal), podem ser encriptadas pelo sistema de gestão do emissor de cartões 150 antes de passar os dados ao sistema de personalização de cartões inteligentes 100. O interface de sistema de gestão do emissor de cartões 101 obtém a chave de encriptação a partir da base de dados de chaves seguras 128 através do gestor de chaves seguras 111, e desencripta os dados antes de codificar ou programar o código PIN na banda magnética e/ou no chip.

Numa forma de realização alternativa adicional, o gestor de chaves seguras 111 é um "gancho" de código no sistema de personalização de cartões inteligentes 100 que providencia uma ligação de gateway para uma fonte de segurança externa que fornece as funções de segurança necessárias. Um exemplo de uma tal fonte de segurança externa é um programa de gestão de segurança desenvolvido por um terceiro que gere uma base de dados de segurança de chaves seguras e/ou de funções de segurança similar à base de dados de chaves seguras 128. As funções de segurança podem ser tanto rotinas externas executadas pelo gestor de segurança, ou módulos de código passados pelo gestor de segurança os quais são então executados pelo sistema de personalização de cartões inteligentes 100 para providenciar as funções de segurança requeridas, ou uma combinação de ambos. 1 ΡΕ1333408 A Figura 3 ilustra uma configuração mínima do sistema de personalização de cartões inteligentes 100. Nesta forma de realização, apenas os módulos de interfaces do sistema de gestão do emissor de cartões 101 e os módulos de interfaces do equipamento de personalização 107 são activados no software. Esta forma de realização permite ao emissor de cartões utilizar o sistema 100 para personalizar cartões não inteligentes, poupando assim o custo de ter dois sistemas de personalização separados, enquanto permitindo ao emissor de cartões utilizar múltiplas formatações de dados e múltiplos tipos de equipamento de personalização. A Figura 3 ilustra também uma forma de realização alternativa adicional que inclui o módulo de rastreio/comunicação 109 tal como descrito acima em conjunção com a Figura 1C.

Ainda numa forma de realização adicional, o sistema de personalização de cartões inteligentes 100 mostrado na Figura 3 codifica dados num cartão de transacção óptico quando é utilizado equipamento de codificação óptica como o equipamento de personalização 130 .

As Figuras 4 e 5 retratam ainda mais formas de realização adicionais que são implementadas quando o emissor de cartões não programa uma aplicação de cartão no chip do cartão inteligente. Estas formas de realização permitem ao emissor de cartões emitir múltiplos tipos de cartões com a sua variedade de presença de sistemas 1 ΡΕ1333408 operativos em múltiplos tipos de equipamento de personalização sem ter de reconfigurar o sistema de personalização de cartões inteligentes 100 . Tal como descrito acima em conjunção com a Figura o \—1 a Figura 4 inclui os módulos que suportam a comunicação e o pós-processamento. A Figura 5 ilustra as formas de realização da Figura 4 com a adição do módulo de gestor de chaves seguras 111 que providencia segurança ao interface de sistema operativo de cartão 103 para transmissão ao equipamento de personalização 130.

Similarmente, as Figuras 6 e 7 ilustram formas de realização para suportar um emissor de cartões que utiliza um chip num cartão inteligente apenas como um dispositivo de armazenamento de dados para uma aplicação de cartão, e que portanto não tem um sistema operativo em execução no chip. O sistema de personalização de cartões inteligentes 100 suporta múltiplas aplicações de cartões para múltiplos tipos de cartões emitidos com múltiplos tipos de equipamento de personalização. As Figuras 6 e 7 são análogas às Figuras 4 e 5 com excepção de que o gestor de chaves seguras 111 providencia chaves seguras e/ou funções ao interface de aplicação de cartão 105 em vez do interface de sistema operativo de cartão 103. A Figura 8 é um gráfico de fluxo de alto nível para uma forma de realização de software que implementa as funções do sistema de personalização de cartões inteligentes 100 descritas acima. O software adquire um 1 ΡΕ1333408 identificador de equipamento de personalização para um lote de cartões de transacção ser emitido a partir do sistema de gestão do emissor de cartões no bloco 801. Dependendo do tipo de cartões a serem emitidos, o software também adquire identificador(es) de aplicação de programa e/ou um identificador de sistema operativo de cartão ao mesmo tempo. O software adquire então o modelo de formatação de dados especifico correspondendo à formatação dos dados de personalização através de um dos procedimentos descritos acima (bloco 803). No bloco 805, o sistema adquire as caracteristicas do equipamento para o equipamento de personalização ser utilizado para emitir o lote de cartões a partir do registo de equipamento de personalização especificado pelo identificador de equipamento de personalização.

Se o identificador de sistema operativo de cartão foi passado pelo sistema de gestão do emissor de cartões (bloco 807), o software obtém os comandos de controlo de programação a partir do registo de base de dados de sistemas operativos de cartões correspondendo ao identificador de sistema operativo de cartão no bloco 809. Os blocos 811 e 813 realizam a mesma lógica para uma aplicação de cartão, obtendo os dados da aplicação, tais como código e/ou variáveis, a partir da base de dados. Neste ponto, o software adquiriu os dados comuns necessários para todos os cartões no lote e começa um ciclo através da lógica que emite cartões para os titulares individuais. 1 ΡΕ1333408 O sistema de gestão do emissor de cartões passa os dados de personalização para um único titular ao software (bloco 815) que traduz os itens de dados do formato definido pelo modelo de formatação de dados num formato interno utilizado pelos módulos do sistema de personalização de cartões inteligentes (bloco 817) . Se o chip do cartão contiver uma arquitectura de segurança que requer chaves de segurança (bloco 819), o software adquire os dados de chaves seguras necessários para desempenhar as funções de chave segura a partir da fonte de chaves seguras apropriada no bloco 821. 0 software está agora pronto para transferir dados para o equipamento de segurança programar o cartão. Se o cartão estiver protegido por chaves seguras, as funções de chave segura são desempenhadas e os dados de chaves seguras são transferidos no bloco 823. De seguida os códigos de controlo de programação para o sistema operativo do chip. Se aplicável, são transferidos (blocos 825 e 827); a seguir o código e/ou variáveis da aplicação são transferidos se forem necessários (blocos 829 e 831). Finalmente, os dados de personalização do titular que foram traduzidos para o formato interno são transferidos (bloco 833) .

Após os dados terem sido transferidos para o cartão, o software adiciona os valores apropriados às estatísticas que colecciona para o sistema de gestão do 1 ΡΕ1333408 emissor de cartões no bloco 839. Se mais cartões no mesmo lote faltarem ser transmitidos (bloco 841), o software retorna ao bloco 815 e adquire os dados de personalização para o próximo titular. De outro modo, o software determina se o sistema de gestão do emissor de cartões tem um lote diferente de cartões para emitir (bloco 843) e retorna ao bloco 801 para adquirir a informação necessária para repetir o ciclo para o novo lote. Se não faltarem emitir mais cartões, o software sai.

Os mecanismos pelos quais o sistema de gestão do emissor de cartões 150 passa os dados necessários ao sistema de personalização de cartões inteligentes 100 e a ordem na qual o sistema de personalização de cartões inteligentes processa os dados vindos do sistema de gestão do emissor de cartões podem ser alterados sem exceder o âmbito da invenção. Diferentes disposições são ditadas pelo ambiente especifico no qual o sistema 100 opera tal como mostrado na forma de realização alternativa ilustrada nas Figuras 9 e 10.

Na Figura 9, um módulo de segurança 911 actua como uma gateway no sistema de personalização de cartões inteligentes 100 para uma fonte de segurança tal como um gestor de segurança 940 e uma base de dados de segurança 942 mostrados na Figura 1B como 111 e 128 respectivamente. O gestor de segurança 940 controla o acesso à base de dados de segurança 942 e liga à gateway de segurança 911 para desempenhar as funções de segurança necessárias para o 1 ΡΕ1333408 sistema de personalização de cartões inteligentes 100. A gateway de segurança 911 é agrupada com o interface de sistema de gestão do emissor de cartões 901 o que permite ao interface 901 solicitar que o gestor de segurança 940 desencripte dados de personalização passados num formato encriptado pelo sistema de gestão do emissor de cartões 950. A gateway de segurança 911 é também agrupada com o interface de aplicação de cartão 903 e com o interface operativo de cartão 905 de modo a que possa fornecer as chaves seguras e/ou funções de segurança necessárias àqueles interfaces tal como explicado acima em conjunção com a Figura 2.

Adicionalmente, a forma de realização do sistema de personalização de cartões inteligentes 100 mostrado na Figura 9 adquire os dados de aplicação 922 especificados pelo identificador de programa aplicativo antes de adquirir os comandos de controlo de programação específicos do sistema operativo de cartão 924 utilizando o identificador de cartão. Esta forma de realização permite que os dados de personalização e aos dados de aplicação sejam traduzidos para a formatação interna antes de se obterem os comandos de programação para o sistema operativo de cartão 924 e os dados caracteristicos do equipamento 926, acelerando assim o processamento de cada cartão inteligente.

Os cartões de transacção Standard têm dados impressos e gravados na superfície do cartão e/ou dados codificados numa banda magnética no cartão. Com um cartão 1 ΡΕ1333408 inteligente, os dados podem também ser armazenados numa área de memória interna no microprocessador. Os mesmos dados podem ser colocados na superfície do cartão, na banda magnética e também na memória do chip. A configuração exacta dos dados dentro e sobre o cartão irá variar dependendo do tipo de cartão inteligente a ser emitido e dos requisitos do emissor de cartões. A Figura 10 é um gráfico de fluxo de alto nível da forma de realização mostrada na Figura 9 e, em conjunção com as Figuras 11, 12 e 13, ilustra ainda como diferentes mecanismos podem ser utilizados para implementar o sistema de personalização de cartões inteligentes 100. O sistema de gestão do emissor de cartões 950 passa um modelo de estrutura de cartões que define a configuração do cartão inteligente para o sistema de personalização de cartões inteligentes 100 no bloco 1001. A Figura 11 ilustra uma forma de realização do esboço dos dados para o registo do modelo de estrutura de cartões 1100. O identificador do chip do microprocessador 1101 e o identificador do sistema operativo de cartão 1102 (se presente) são específicos do tipo de cartão inteligente a ser emitido. A definição do ficheiro principal 1103 contém informação de controlo tal como a origem do chip e a última data em que o chip foi alterado. As definições dos ficheiros de sistema 1104, 1105, 1107 contêm endereços para a localização dos ficheiros de sistema na memória do chip. Os ficheiros de sistema são utilizados pelo sistema 1 ΡΕ1333408 operativo do cartão e contêm informação tal como o(s) código(s) PIN para o cartão e aplicações, e tabelas de algoritmos. Na forma de realização mostrada na Figura 11, as definições de ficheiro principal e de sistema estão conforme a directiva número 7816-4 da Organização Internacional de Normalização(ISO).

As próximas três secções do registo do modelo de estrutura de cartões 1100 definem a disposição dos dados na superfície e na banda magnética do cartão. Se a informação deve ser impressa no cartão, tal como a fotografia do titular 1109, a localização na superfície do cartão para imprimir estes dados é passada pelo sistema de gestão do emissor de cartões 950 no modelo de impressão do registo do modelo de estrutura de cartões 1100. Similarmente, as localizações na superfície do cartão para gravar os dados é passada no modelo de gravação, e a disposição dos dados a serem codificados na banda magnética é passada no modelo de banda magnética. Os dados de gravação são ilustrados no registo do modelo de estrutura de cartões 1100 como o nome do titular (EMName) 1111, o número da conta (EMAcct) 1113, e a data de validade (EMXdat) 1119. O número de itens de dados nos modelos de impressão, gravação, e banda magnética irá variar dependendo da configuração do cartão inteligente desejado pelo emissor de cartões tal como ficará aparente aos especialistas na técnica.

Se o emissor de cartões desejar aplicações de cartão programadas no chip no cartão inteligente, o emissor ι ΡΕ1333408 de cartões passa os identificadores de programa aplicativo ao sistema de personalização de cartões inteligentes 100 nas secções 1121, 1123, 1125 do registo do modelo de estrutura de cartões 1100. Cada aplicação pode ter funções de segurança especificas a ela associadas (1127, 1129, 1131) e essa informação é também passada pelo sistema de gestão do emissor de cartões 950. O registo do modelo de estrutura de cartões 1100 contém também o identificador de equipamento de personalização 1123 para o equipamento de personalização a ser utilizado emitir os cartões inteligentes.

Numa forma de realização alternativa, o sistema de personalização de cartões inteligentes 100 armazena registos do modelo de estrutura de cartões usados de forma comum numa base de dados interna de modo que o sistema de gestão do emissor de cartões 950 apenas precisa de passar um identificador de modelo de estrutura de cartões que identifica qual o registo do modelo de estrutura de cartões que deve ser utilizado para um lote de cartões especifico. O sistema de personalização de cartões inteligentes 100 adquire o modelo de formatação de dados para os dados de personalização a partir de uma localização pré-definida especificada pelo emissor de cartões no bloco 1003. Se o emissor de cartões tiver passado um identificador de formatação de dados ao sistema 100, o registo do modelo de formatação de dados correspondendo ao identificador de formatação de dados é obtido a partir da 1 ΡΕ1333408 base de dados de formatação de dados 920. Alternativamente, o emissor de cartões pode ele próprio passar o registo do modelo de formatação de dados. Quando nem o identificador de formatação de dados nem o modelo de formatação de dados é passado ao sistema 100, a formatação dos dados de personalização é determinada pelos dados de aplicações do cartão tal como explicado abaixo em maior detalhe.

Um exemplo de um registo do modelo de formatação de dados é mostrado na Figura 12. O registo do modelo de formatação de dados 1200 define um esboço hipotético dos registos de dados de personalização na base de dados de titulares 952 na qual o número de conta 1201 é o primeiro campo, o nome do titular 1202 é o segundo campo, e a data de validade do cartão 1205 é o terceiro campo. Numa forma de realização, os registos de dados de personalização são registos delimitados por virgulas logo não são necessários nenhuns comprimentos dos campos de dados para definir a formatação do registo. Deste modo o registo do modelo de formatação de dados 1200 mostrado na Figura 12 define completamente a estrutura do exemplo seguinte de um registo de dados de personalização delimitado por virgulas para o sistema de personalização de cartões inteligentes 100: 133444999922,Mary Jane Smith, 0299. O sistema de personalização de cartões inteligentes 100 adquire os dados de aplicação para a aplicação de cartão, ou aplicações, 922 correspondendo aos identificadores de programa aplicativo, se existirem, que 1 ΡΕ1333408 foram passados pelo sistema de gestão do emissor de cartões 950 no bloco 1007. Se não forem passados nenhuns identificadores de programa aplicativo, o sistema de personalização de cartões inteligentes 100 adquire dados de aplicação com valores pré-estabelecidos (bloco 1008). O valor pré-estabelecido e/ou os dados de aplicação no(s) registo(s) de dados de aplicação de cartões correspondendo ao (s) identificador(es) de programa aplicativo são inseridos nas secções correspondentes, i.e., 1121, 1123, 1125, do registo do modelo de estrutura de cartões 1100.

Uma forma de realização do esboço de um registo de dados de aplicação de cartão é mostrada na Figura 13. O primeiro campo no registo de dados de aplicação de cartão 1300 é o nome da aplicação 1301. Assim como com outros programas aplicativos baseados em computador, uma aplicação de cartão processa dados vindos de fontes externas tais como um terminal de pagamento automático ou fontes internas tais como ficheiros de dados codificados na memória do microprocessador. Utilizando o cartão inteligente faz com que a aplicação apropriada seja executada pelo microprocessador e a aplicação, por seu turno, acede aos ficheiros internos para obter ou armazenar dados. Para aceder a dados internos, o registo de dados de aplicação de cartão contém apontadores para ficheiros de aplicação na memória do chip (1302, 1305, 1037) e também a localização de campos no interior dos ficheiros da aplicação. Alguns dos campos são inicializados com dados provenientes da base de dados de titulares 952 quando o cartão é emitido. Os 1 ΡΕ1333408 dados de aplicação 1300 incluem um endereço 1303 para um ficheiro de titulares localizado na memória do chip e define o ficheiro de titulares como contendo três campos: o nome do titular (ICName) 1309, o número da conta (ICAcct) 1311 e a data de validade (ICXdat) 1313. Os dados internos adicionais são armazenados noutros ficheiros da aplicação e o esboço desses ficheiros adicionais é também definido pelos dados de aplicação 1300.

Se o chip embebido no cartão inteligente contiver um sistema operativo tal como especificado pelo registo do modelo de estrutura de cartões, o sistema de personalização de cartões inteligentes 100 adquire um conjunto de comandos de controlo de programação para o sistema operativo a partir da base de dados de sistemas operativos de cartão 924 no bloco 1011. Os comandos de controlo de programação para cada sistema operativo incluem comandos para funções tais como criar e aceder a ficheiros na memória do chip, ler e escrever registos nos ficheiros localizados na memória do chip, assim como comandos de segurança que autenticam códigos PIN (Personal Identification Number) e transacções de controlo que alteram quantias monetárias armazenadas no chip. 0 sistema de personalização de cartões inteligentes 100 adquire os dados caracteristicos do equipamento correspondendo ao identificador de equipamento de personalização no registo do modelo de estrutura de cartões a partir da base de dados de equipamentos de 1 ΡΕ1333408 personalização 926 no bloco 1013. Incluído nos dados característicos do equipamento está um conjunto de comandos de controlo de programação de personalização que controlam a operação do equipamento de personalização. Tal como é o caso dos sistemas operativos de cartão, os comandos de controlo de personalização são proprietários do fabricante do equipamento mas tipicamente incluem comandos dirigidos à administração, formatação, e produção de cartões inteligentes.

Quando o sistema de personalização de cartões inteligentes 100 tiver adquirido todos os dados necessários para definir um cartão inteligente, está pronto para aceitar registos de dados de personalização 952 provenientes do sistema de gestão do emissor de cartões 950. Como cada registo de personalização de dados 952 é passado no bloco 1015, o sistema de personalização de cartões inteligentes 100 utiliza o modelo de formatação de dados, se presente, para traduzir os dados de personalização para um formato interno, e os dados de aplicação de cartão e o modelo de estrutura de cartões para mapear os dados de personalização em variáveis num script de comandos desenvolvido numa linguagem de scripting interna no bloco 1017. 0 processo de tradução e mapeamento é descrito abaixo em maior detalhe. Formas de realização alternativas que utilizam uma linguagem de programação Standard tal como Basic, Java ou C em vez da linguagem de scripting interna estão dentro do âmbito da invenção. 1 ΡΕ1333408 O sistema de personalização de cartões inteligentes 1019 procura por requisitos de segurança para os vários componentes do processo de emissão de cartões inteligentes. Na forma de realização do modelo de estrutura de cartões mostrada na Figura 11, os requisitos de segurança para as aplicações são especificados pelo registo do modelo de estrutura de cartões 1100 no bloco 1019. Se existirem requisitos de segurança, o sistema de personalização de cartões inteligentes 100 adquire dados e/ou funções seguros provenientes do gestor de segurança 940 e adiciona as funções ao script interno no bloco 1021.

Uma forma de realização alternativa do sistema de personalização de cartões inteligentes 100 passa os identificadores do sistema operativo do cartão e do equipamento de personalização, assim como o identificador do programa aplicativo, ao gestor de segurança 940 que obtém os dados e/ou funções de segurança a partir da base de dados de segurança 942. As funções de segurança tipicamente utilizam dados provenientes de fontes adicionais, incluindo dados armazenados em ficheiros do chip internos, dados de personalização 952, da base de dados de sistemas operativos 924, da base de dados de aplicações de cartões 922, combinados com as tabelas de algoritmos armazenadas no chip ou provenientes de um módulo de segurança externo, tal como o gestor de segurança 940, para desempenhar a autenticação, integridade, confidencialidade dos dados das chaves seguras e outros processos de segurança descritos acima em conjunção com a Figura 2. 1 ΡΕ1333408

Uma vez que o script de comandos interno esteja completo, tem de ser traduzido para os comandos de controlo de programação proprietários nativos do sistema operativo do cartão (se presente) e para o equipamento de personalização de modo a que os dados de personalização sejam transferidos para o cartão inteligente. Nesta forma de realização, a tradução é realizada por um interpretador da linguagem de script nos blocos 1025 e 1027 utilizando a informação adquirida a partir da base de dados de sistemas operativos de cartões 924 e da base de dados de equipamentos de personalização 926.

No bloco 1029, o sistema operativo de cartão inteligente 100 passa o script interpretado para o equipamento de personalização o qual executa então os comandos de controlo de programação para gravar/imprimir, codificar e programar os dados de personalização apropriados na superfície, e dentro da banda magnética e do chip do cartão inteligente respectivamente. Tal como anteriormente, se o emissor dos cartões tiver escolhido adquirir um dispositivo de programação de cartões inteligentes adicional para o acoplar ao seu equipamento de personalização existente, uma forma de realização alternativa do sistema de personalização de cartões inteligentes 100 dirige os comandos de controlo para a gravação e codificação para o equipamento de personalização 930 e o comando de controlo para o chip para o pós- 1 ΡΕ1333408 processador 132 no dispositivo de programaçao de cartões inteligentes.

Quando o processo de emissão tiver sido completado para um cartão, o sistema de personalização de cartões inteligentes 100 adquire o próximo registo de dados de personalização se existirem cartões adicionais do mesmo tipo em espera para emissão (bloco 1033). De outro modo, o sistema de personalização de cartões inteligentes determina se existe outro lote de cartões inteligentes de um tipo diferente em espera para emissão (bloco 1001) e começa o processo de emissão novamente adquirindo um novo registo do modelo de estrutura de cartões proveniente do emissor de cartões. O exemplo seguinte utiliza dados de amostra para descrever adicionalmente o processamento realizado pela forma de realização do sistema de personalização de cartões inteligentes 100 mostrada nas Figuras 9 e 10. 0 sistema de gestão do emissor de cartões 950 solicita a iniciação do processo de emissão enviando ao sistema de personalização de cartões inteligentes 100 um registo do modelo de estrutura de cartões, identificador(es) de programa aplicativo, um identificador de sistema operativo de cartão, um identificador de equipamento de personalização, e opcionalmente um identificador de modelo de formatação de dados ou um registo do modelo de formatação de dados. Neste exemplo, o sistema de gestão do emissor de cartões 950 passa um registo do modelo de recursos da aplicação 1 ΡΕ1333408 mostrado abaixo que contém os identificadores. 0 sistema 100 adquire um modelo de formatação de dados utilizando um dos procedimentos especificados acima e explicados em maior detalhe abaixo em conjunção com as amostras de registos de dados de titulares.

AppSloâtÈoni Re&ourcs Templsie Record [AI]

DFT=CARD1.DFT

CAI-CARPI .CAT CID-CHIPX.CID CPT=CARD1 .CPT SGURCB-A1 A primeira linha no registo marca o inicio da informação para uma aplicação em particular, neste caso a aplicação "Al". As quatro linhas seguintes definem os identificadores para o registo do modelo de estrutura de cartões (DFT), o registo de aplicação de cartão (CAT), o registo do sistema operativo de cartão (CID) e o registo do equipamento de personalização (CPT). A linha final é o nome de um ficheiro criado pelo sistema de gestão de emissão de cartões 950 que contém o(s) registo (s) de dados de titulares. O sistema de gestão de emissão de cartões 950 introduz os dados dos titulares ou como uma única solicitação ou como um "lote" de solicitações para emissão de cartões.

O sistema 100 obtém os registos correspondendo aos identificadores provenientes da base de dados. O 1 ΡΕ1333408 sistema 100 utiliza então a informação contida no modelo de estrutura de cartões e no modelo de formatação de dados para criar um "script" interno, o qual interpreta mais tarde para os comandos específicos contidos no sistema operativo do cartão e para os registos do equipamento de personalização que instruem o equipamento de personalização para processar os dados de personalização e para emitir o cartão para cada titular.

Duas amostras de registos de dados de titulares 952 são mostrados abaixo.

CardhoÊder Data Rseords

SmsthiJann®sA1^53683091245íS0998A041052Ammmm Andersoíis 8^39488003984138*0297*110248*mmmfn

Nestes registos, a formatação definida pelo emissor dos cartões coloca o nome da conta (nome do titular) no primeiro campo seguido pelo número da conta, data de validade, data de nascimento, e dados médicos. O sistema 100 utiliza o modelo de formatação de dados para interpretar cada registo de dados de titular 952 quando é processado. O sistema 100 também utiliza o modelo de formatação de dados e os registos de aplicações de cartão 922 para validar os dados 952 assegurando dados e formatação apropriados Um exemplo de um modelo de formatação de dados correspondendo à formatação das amostras de registos de titulares mostrados acima é 1 ΡΕ1333408 mostrado na primeira linha da tabela abaixo. 0 registo de dados de personalização de James Smith está incluído na tabela para mostrar a correspondência entre o modelo de formatação de dados e os campos do registo de dados de titular. 0 modelo de formatação de dados iguala cada campo no registo de titular com uma etiqueta interna, %1, %2, etc., que corresponde à ordem interna utilizada no sistema 100.

Data Format Tempíate RecertJ ] %l......f...... %2...................í%3 |.....%4 1 %$"j

Smith, iarnesAí 2ó53â8309!245A0998/s04i052AmmmrTt O exemplo mostrado acima representa o caso mais simples no qual os campos de um registo de dados de titular 952 são dispostos na ordem interna utilizada pelo sistema de personalização de cartões inteligentes 100. Esta correspondência de um-para-um significa que o sistema 100 não tem de traduzir os campos de dados de titular para a ordem de campos interna. Neste caso, o registo do modelo de formatação de dados é desnecessário. Deste modo, numa forma de realização alternativa adicional, o emissor de cartões não passa um identificador de formatação de dados ao sistema de personalização de cartões inteligentes 100, mas em vez disso passa um indicador, tal como um sinalizador, que informa o sistema 100 que não é necessário nenhum modelo de formatação de dados porque os campos de dados de titular estão numa correspondência de um-para-um com a 1 ΡΕ1333408 ordem de campos interna. 0 sistema 100 actua no indicador torneando o passo de tradução.

Um exemplo mais complexo mostrado a seguir é um em que os campos do registo de dados de titular 952 e os dados nos campos estão fora de ordem relativamente à ordem de sistema interna. Neste caso, a tradução é necessária.

Caráholdôf Data in iisauer Format 1234587891245 James Sm&ih 0998 041052 mmmm Cardfiefcter DataTransfatedl ínto internai Formal Smílh, jamesA 12153883091245Λ0998*041 OSS^HniTtmm 0 sistema 100 utiliza o modelo de formatação de dados para traduzir os campos de dados para a ordem interna tal como mostrado acima. A tradução pode resultar na redistribuição interna dos campos de dados ou pode ser uma redistribuição lógica na qual o modelo de formatação de dados é invocado como uma chave em cada vez que um campo do registo de dados de titular é referenciado pelo sistema 100. Vários modelos de formatação de dados desenhados para traduzir diferentes distribuições de dados de titular irão ficar aparentes aos especialistas na técnica assim como ficará a substituição de tabelas de equivalências de campos ou um conjunto de instruções de análise ou outros mecanismos para a tabela simples utilizada acima para ilustrar este exemplo. 0 registo do modelo de estrutura de cartões descreve a estrutura do chip no cartão. Na amostra mostrada abaixo, a entrada $MF define uma directoria raiz (3F00), 1 ΡΕ1333408 enquanto as entradas $DF definem uma aplicação médica (5F20), e uma aplicação de contabilidade (5F10). Em cada directoria estão ficheiros específicos de cada aplicação definidos por entradas $EF, tais como 6F00 contendo o nome da conta e 6F10 contendo o número da conta. Todos os dados descritivos de ficheiros residem no modelo de estrutura de cartões e são referenciados várias vezes durante o processo de emissão de cartões inteligentes.

Card FnameworkTemplate Record $ÇHíP*3f02sME!Vb81 92fSÍZE=N10

PATH^aFOOJAG^ROOTjrTLE^Roôt Diractòiy(SíZE-D7194 $DF PATH-X3FÔ05F1 OTAG-ACCTJTÍLEúAtc! Date\SIZE=D2048 $DF PATH-X:3F00SF2O<TAG!sMEDlTn’LE“,,IVllediC8l*4StZE~D1O24 SEF PATH-X3F0031 GGTAG-ICCIDJITLE-I&aiôr SD^FORMAT-TS^MIO SEF PA7H=a3FQ05F2O5EQO,TAG=MED1 .TITLE^Medical

proíile', FO RM AT~TtSf ZELOSO $EF PAT*tex3F005F10SFCK3íTAG-MAME,TÍTLE-íAatí

Namô*sFORMAT«T5S!ZE-A30 $EF PATHaxSFOOSFI0SF1 OJAG-ACCTiD,TITLE»‘Accoum No Λ FQ R M AT=TsS !ZE=N 14 SEF FATH*«X3F00£ÍF1 Q8F2t3 JAG-EXPiREJÈTLE--Expire Date’, FORM AT ~T, SIZE-N4 $EF PATH»x3FQ0SF108FM JAâ»BIRTH JÍItE-AcMunt Holdar Birthdattf, FORMAT=T,SIZ£=N8 O registo de aplicações de cartão 922 "mapeia" os dados de titular 952 para os campos de dados utilizados pela aplicação. A amostra de registo de aplicações de cartão 922 mostrada abaixo tem as suas entradas de dados dispostas na sequência na qual são processadas pelo sistema de personalização de cartões inteligentes 100. 1 ΡΕ1333408

Card Application Record $VL ICCÍD VALUE- 1234509876 $VL MEDI %SsTYPE^A $vl mm %ι ,τυρε-α

$VLACCTiD%2,TYPE=N

$VL EXPIRE: %3,TYPE™N

$VL BIRTH %4,TYPE«N $VL RWTACGT %2{1 «4)«%2{5-8)-%2{ 10-14) A entrada ICCID contém o identificador do chip. Cada uma das entradas remanescentes, com excepção da FMTACCT, mapeia uma "tag" para o campo no registo de dados de titular 952 que contém a informação (tal como definida no modelo de formatação de dados mostrado acima) e especifica o tipo de dados no campo. Deste modo, a tag MEDI representa o quinto campo no registo de dados de titular 952 e os dados estão no formato alfa. A entrada FMTACCT divide o segundo campo no registo de dados de titular 952, i.e., o número da conta, em secções e insere hífenes entre as secções. O registo de sistema operativo de cartão 924 contém os comandos de controlo de programação necessários para programar o chip no cartão. A amostra de comandos de controlo de programação de sistema operativo mostrada abaixo é tirada da directiva ISO número 7816-4 e não são os comandos internos proprietários de nenhum sistema operativo de cartão em particular.

Card Operating System Record SELECT A0A4Q0Q G02%F WRÍTE A0D0%O%L%D READ AQB0%O%L%D RÉ SET VALUE-xFF

Cada entrada no registo de exemplo acima contém 1 ΡΕ1333408 uma tag seguida do comando correspondente na linguagem nativa do sistema operativo de cartão. Os campos de parâmetros de variáveis estão indicados por "%" seguidos de uma letra e são preenchidos com os dados de titular apropriados à medida que cada cartão individual é processado. 0 registo de equipamento de personalização 926 contém dados caracteristicos do equipamento de personalização, tais como instruções que definem a sequência e passos reais necessários para emitir um cartão completo numa unidade especifica de equipamento de personalização. As amostras de instruções utilizadas neste exemplo são fictícias e não representam as instruções internas proprietárias para nenhum equipamento de personalização em particular.

PereoRaiixatKSfli Eqylpmert Record

$EMBOSS #B*B#%FMTACCT%A%NAME%

$ENODOE #BYC#%%%ACCTÈD%*%NAME% $10 #\@# mccm

WRITE ÍOOtO #NAN!E SELECT ACCT SELECT NAME WRITE NAME ©AGC I IP SELECT A.CCTID WRITE ACCTID ©EXPIRE SELECT EXPIRE WRITE EXPIRE 1 ΡΕ1333408 À medida que cada cartão é emitido, os dados caracteristicos do equipamento de personalização mostrados acima são processados em série em quatro passos definidos pelas entradas precedidas por um O registo de aplicações de cartão 922 é utilizado para determinar o valor dos campos de parâmetros de variáveis em cada instrução. A instrução $EMB0SS (gravar) é um fluxo de dados única que começa com a sequência de controlo #EMB# que notifica o equipamento de personalização de que os dados que se seguem devem ser gravados no cartão. Cada campo de dados na instrução está envolvido num par de sinais de percentagem. Neste caso, o primeiro campo de dados é FMTACCT, ou o campo de conta formatado tal como definido no registo de aplicações de cartão 922. 0 sistema 100 procura no registo de aplicações de cartão 922 pela entrada FMTACCT e cria a cadeia "1265-36830-91245" a partir do segundo campo de dados no primeiro registo de amostra de titular 952. O campo seguinte, NAME (Nome), é tirado do primeiro campo de dados no registo de titular 952. Deste modo, a instrução de gravação para o primeiro registo de amostra de registo de titular 952 fica #EMB%1265-36830-91245%%Smith,James%. A instrução $ENCODE (Codificar) faz com que o sistema 100 processe os dados de titular a serem 1 ΡΕ1333408 codificados na banda magnética do cartão da mesma maneira que na instrução de gravação. Caracteres de controlo adicionais de acordo com os standards da IATA (Associação Internacional de Transportes Aéreos) e da ISO são inseridos no comando. A instrução resultante é #ENC#%%%12653683091245%%Smith,James%. 0 comando $IC especifica qual a informação a ser armazenada na memória do chip. 0 registo de sistema operativo de cartão 924 é utilizado para traduzir as instruções no registo de equipamento de personalização para os comandos de controlo de programação para o sistema operativo. Uma sequência de controlo, #\θ#, é utilizada para notificar o equipamento de personalização de que os dados que se seguem são dados do chip. 0 primeiro campo a ser armazenado é o identificador de chip, ICCID. 0 sistema 100 interpreta a tag WRITE (Escrever) no registo de equipamento de personalização 926 de acordo com o comando identificado com a tag WRITE no registo de sistema operativo de cartão 924. Uma vez que não é especificado nenhum valor de offset no registo de aplicação 922 para a entrada de identificador de chip, o valor pré-estabelecido de "0000" é carregado no campo de parâmetro de variável %0. O campo de parâmetro de variável %L é colocado com o valor do campo SIZE (Tamanho) na entrada $CHIP no modelo de estrutura de cartões, i.e., "10" ou "0A" em hexadecimal. 0 campo de parâmetro de variável "%D" é colocado com o valor de ICCID, "1234509876". O comando resultante é A0D000000A1234509876 . 1 ΡΕ1333408

Os comandos seguintes fazem com que o sistema operativo de cartão armazene o nome do titular no ficheiro do nome da conta na directoria da conta no chip. 0 sistema 100 traduz o comando SELECT ACCT (Seleccionar Conta) para o comando de sistema operativo de cartão correspondente. O sistema 100 localiza a entrada SELECT no registo de sistema operativo de cartão 924, a entrada ACCT no registo do modelo de estrutura de cartões, e substitui o caminho de directorias especificado para a directoria da conta definida na entrada ACCT, i.e., "5F10," para o campo de parâmetro de variável %F no comando definido na entrada SELECT. 0 comando resultante é A0A40000025F10. Similarmente, o comando SELECT NAME (Seleccionar Nome) faz com que o sistema 100 substitua o ficheiro do nome da conta "6F00" para o campo de parâmetro de variável %F. O comando resultante é A0A40000026F00. O comando final nesta série é

o comando WRITE (Escrever). 0 sistema 100 interpreta o comando WRITE substituindo o offset de valor pré- estabelecido de "0000" por %0, o valor do campo SIZE, "30" ou "1E" em hexadecimal, tal como definido pela entrada NAME no registo do modelo de estrutura de cartões para %L, e o nome do titular, "Smith,James" para o primeiro registo de amostra de dados de titular 952, para %D, para produzir o comando A0D00000lEsmith, James------------------- em que cada representa um espaço na cauda inserido para adaptar o nome a trinta caracteres. 1 ΡΕ1333408 O sistema 100 processa os comandos remanescentes no registo de equipamento de personalização 926 de uma forma similar para produzir uma cadeia contígua de dados contendo os comandos para emitir um cartão para o primeiro registo de amostra de dados de titular 952: immxmmQA i 2Sa4^B7SACA40OSOa®5F1

OOÂGDQGSSOI ———-- -*" ÁOÂ480SD 026F1OA0À4OQGOO2E12B5388M8124δΑ0Μ000α02δΡ2θ4δ®8Β. O comando $PR faz com que o sistema 100 envie o fluxo de dados de comando para o equipamento de personalização.

Os esboços de dados mostrados nas Figuras 11, 12 e 13, e os dados de amostra discutidos em conjunção com o exemplo acima são apenas exemplos utilizados para ilustrar o funcionamento de várias formas de realização do sistema de personalização de cartões inteligentes 100. O facto dos esboços e dos dados serem necessariamente definidos pelo ambiente no qual são utilizados ficará aparente aos especialistas na técnica.

Tal como também ficará aparente aos especialistas na técnica, o sistema de personalização de cartões inteligentes 100 abrange formas de realização alternativas do programa de software no qual as funções do sistema são realizadas por módulos diferentes dos que são mostrados nas Figuras. O sistema 100 pode processar os dados em série ou de forma paralela, ou numa combinação das duas, sem sair do ι ΡΕ1333408 espírito ou do âmbito da invenção. 0 programa de software pode ser desenvolvido numa de várias linguagens de programação amplamente disponíveis e os módulos podem ser codificados como subrotinas, subsistemas, ou objectos dependendo da linguagem escolhida. Similarmente, os dados utilizados pelo sistema 100 são descritos e representados como registos lógicos implementados numa base de dados, mas a invenção não está limitada à disposição descrita dos registos de dados, nem está a utilização de qualquer tipo de sistema de gestão de dados implícito em particular. Os sistemas de bases de dados relacionais de fabricantes como a Oracle, Sybase, Informix, ou Microsoft providenciam a infraestrutura necessária para gerir os dados subjacentes no sistema, seja este centralizado ou distribuído, mas outras estruturas de dados organizacionais, i.e., ficheiros planos indexados, podem ser substituídas sem exceder o âmbito da invenção.

Adicionalmente, formas de realização alternativas da invenção que implementam o sistema em hardware, firmware, ou numa combinação de hardware e software, assim como distribuírem os módulos e/ou os dados de uma forma diferente irão ficar aparentes aos especialistas na técnica e estão também no âmbito da invenção.

Deverá ser compreendido que a descrição acima pretende ser ilustrativa, e não restritiva. Muitas outras formas de realização ficarão aparentes aos especialistas na ι ΡΕ1333408 técnica após reverem a descrição acima. 0 âmbito da invenção deverá, portanto, ser determinado com referência às reivindicações em anexo, assim como com o âmbito completo de equivalentes às quais tais reivindicações dizem respeito.

Lisboa, 7 de Dezembro de 2006

Claims

ΡΕ1333408 1 REIVINDICAÇÕES 1. Um método de emissão de portadores de dados programados portáteis (160) utilizando um sistema de personalização (100) operável como um interface entre um sistema de gestão de um emissor de cartões (150) e um equipamento de personalização (130) e desempenhando os passos de: adquirir (815, 805) dados de personalização relacionados com um utilizador do portador de dados pelo sistema de personalização (100) a partir do sistema de gestão do emissor de cartões (150), transferir os dados de personalização relacionados com o utilizador do portador de dados para o equipamento de personalização (130) de uma maneira especificada por dados caracteristicos do equipamento para personalização e emissão do portador de dados no equipamento de personalização (130), caracterizado por compreender os passos de: adquirir dados de segurança a partir de uma fonte de segurança externa (128, 940); e transferir os dados de segurança para o equipamento de segurança tal como especificado pelos dados caracteristicos do equipamento. 1 ΡΕ1333408
2. Um método tal como reivindicado na revindi-cação 1, em que a fonte de segurança externa é outra diferente do sistema de gestão do emissor de cartões.
3. Um método tal como reivindicado em qualquer reivindicação precedente, em que o sistema de personalização recebe da fonte de segurança externa dados de segurança correspondendo a uma ou mais chaves seguras programadas num chip do portador de dados.
4. Um método tal como reivindicado em qualquer uma das reivindicações precedentes, em que o sistema de personalização recebe da fonte de segurança externa dados de segurança para utilização pelo sistema de personalização para garantir integridade e confidencialidade dos dados durante o passo de personalização.
5. Um método tal como reivindicado na reivindicação 4, em que os dados de segurança são adquiridos pela operação de um módulo gestor de chaves seguras (111) do sistema de personalização.
6. Um método tal como reivindicado em qualquer uma das reivindicações 4 e 5, em que a integridade dos dados é garantida utilizando um mecanismo de assinatura digital.
7. Um método tal como reivindicado na reivindi- 1 ΡΕ1333408 cação 5, em que o módulo gestor de chaves seguras utiliza um registo de chave segura recebido de uma base de dados de chaves seguras (128) da fonte de segurança externa para desempenhar funções de autenticação, integridade e confi-dencialidade dos dados das chaves seguras.
8. Um método tal como reivindicado na reivindicação 4, em que os dados das chaves seguras são transferidos para o equipamento de personalização através de um interface de equipamento de personalização (107) juntamente com outros dados transferidos para o portador de dados.
9. Um método tal como reivindicado na reivindicação 7, em que os dados encriptados a serem codificados no portador de dados e os quais são recebidos a partir do sistema de gestão do emissor de dados são desencriptados utilizando uma chave de encriptação obtida a partir da base de dados de chaves seguras.
10. Um método tal como reivindicado na reivindicação 5, em que o módulo gestor de chaves seguras providencia um gancho de código para providenciar uma ligação de gateway acessivel pela fonte de segurança externa.
11. Um método tal como reivindicado na reivindicação 10, em que as funções de segurança são providenciadas pela dita gateway pela operação de um programa gestor de segurança executado pela fonte de segurança externa. 1 ΡΕ1333408
12. Um método tal como reivindicado na reivindicação 10, em que são recebidos módulos de código através da dita gateway a partir da fonte de segurança externa e são executados pelo sistema de personalização para providenciar funções de segurança.
13. Um método tal como reivindicado em qualquer uma das reivindicações precedentes, em que o sistema de personalização procura por requisitos de segurança requeridos pelo processo de emissão de cartões especificado por um registo de modelo adquirido a partir de uma base de dados identificada por um identificador de formatação de dados fornecido pelo sistema de gestão do emissor de cartões, e adquire as funções ou dados seguros requeridos a partir da fonte de segurança externa.
14. Um método tal como reivindicado em qualquer uma das reivindicações 1 a 12, em que o sistema de personalização passa identificadores do sistema operativo de cartão e do equipamento de personalização para a fonte de segurança externa identificar as funções ou dados seguros requeridos.
15. Um sistema de personalização (100) para utilização na emissão de portadores de dados programados portáteis (160) e tendo meios (101, 107) para ligação como um interface entre um sistema de gestão de um emissor de cartões (150) e um equipamento de personalização (130) e compreendendo: 1 ΡΕ1333408 um interface de sistema de gestão do emissor de cartões (101) para adquirir dados de personalização relacionados com um utilizador do portador de dados pelo sistema de personalização (100) a partir do sistema de gestão do emissor de cartões (150), um interface de equipamento de personalização (107) para transferir os dados de personalização relacionados com o utilizador do portador de dados para o equipamento de personalização (130) de uma maneira especificada por dados característicos do equipamento para personalização e emissão do portador de dados no equipamento de personalização (130), caracterizado por compreender: um módulo gestor de chaves seguras (111) para adquirir dados de segurança a partir de uma fonte de segurança externa (128, 940); e meios para transferir os dados de segurança para o equipamento de personalização tal como especificado pelos dados característicos do equipamento.
16. Um sistema tal como reivindicado na reivindicação 15, em que a fonte de segurança externa é outra diferente do sistema de gestão do emissor de cartões. 1 ΡΕ1333408
17. Um sistema tal como reivindicado em qualquer uma das reivindicações 15 e 16, em que o sistema de personalização é operável para receber a partir da fonte de segurança externa dados de segurança correspondendo a uma ou mais chaves seguras programadas num chip do portador de dados.
18. Um sistema tal como reivindicado em qualquer uma das reivindicações 15 a 17, em que o sistema de personalização é operável para receber a partir da fonte de segurança externa dados de segurança para utilização pelo sistema de personalização para garantir integridade e confidencialidade dos dados durante a personalização do portador de dados.
19. Um sistema tal como reivindicado na reivindicação 18, em que a integridade dos dados é garantida utilizando um mecanismo de assinatura digital.
20. Um sistema tal como reivindicado na reivindicação 15, em que o módulo gestor de chaves seguras é operável para utilizar um registo de chave segura recebido a partir de uma base de dados de chaves seguras (128) da fonte de segurança externa para desempenhar funções de autenticação, integridade e confidencialidade dos dados das chaves seguras.
21. Um sistema tal como reivindicado na reivindicação 18, pelo que os dados de chaves seguras são trans- 1 ΡΕ1333408 feridos pelo interface de equipamento de personalização para o equipamento de personalização juntamente com outros dados transferidos para o portador de dados.
22. Um sistema tal como reivindicado na reivindicação 15, em que o módulo de chaves de segurança compreende um gancho de código para providenciar uma ligação de gateway acessivel pela fonte de segurança externa.
23. Um sistema tal como reivindicado na reivindicação 22, em que o sistema de personalização é operável para executar módulos de código recebidos através da dita gateway a partir da fonte de segurança externa para providenciar funções de segurança.
24. Um sistema tal como reivindicado em qualquer uma das reivindicações precedentes, em que o sistema de personalização é operável para procurar por requisitos de segurança requeridos pelo processo de emissão de cartões especificado por um registo de modelo adquirido a partir de uma base de dados identificada por um identificador de formatação de dados fornecido pelo sistema de gestão do emissor de cartões, e para adquirir as funções ou dados seguros requeridos a partir da fonte de segurança externa.
25. Um sistema tal como reivindicado em qualquer uma das reivindicações 15 a 23, em que o sistema de personalização é operável para passar identificadores de sistemas operativos de cartão e de equipamento de 1 ΡΕ1333408 personalização para a fonte de segurança externa para identificar as funções ou dados seguros requeridos.
26. Um programa informático compreendendo instruções para controlar um sistema de personalização para levar a cabo todos os passos de um método tal como reivindicado em qualquer uma das reivindicações 1 a 14.
27. Um suporte de armazenamento armazenando um programa informático tal como reivindicado na reivindicação 26 . Lisboa, 7 de Dezembro de 2006