Mobility Configuration

El uso de un intermediario de pagos reduce la carga criptográfica (en orden de magnitud) para el cliente y el comercio. Esto se debe a que SSL es computacionalmente menos demandante que SET, y porque el intermediario exime a los clientes y comercios de los procedimientos de ese sistema, el cual requiere autenticación por cada mensaje, con los consiguientes retardos y costos computacionales adicionales por cada transacción. Al ofrecer los servicios de SET, el intermediario puede justificar su inversión en equipos de cómputo poderosos que protejan las credenciales del sistema (certificados, llaves, etc.) contra fallas en el hardware de los usuarios.

Esta solución puede ser útil para muchos usuarios a pesar de la desventaja económica que siempre representan los intermediarios de pagos (por el costo de su respectiva comisión), pues ofrece bajos costos y facilidad de registro, aspectos que podrían ser particularmente atractivos para pequeñas empresas, así como para aquellas que negocian con productos al menudeo de relativo bajo costo. Además, el intermediario puede intervenir como árbitro en posibles disputas entre clientes y comercios, pues mantiene un registro de todas sus comunicaciones.

Para finalizar respecto a las ventajas de la Arquitectura Híbrida SSL/SET, es conveniente destacar que el sistema supera las grandes dificultades que implican las leyes restrictivas de cada País en materia de criptografía.

La principal inconveniencia de este sistema, es que el cliente no puede controlar el certificado emitido en su nombre, ya que es almacenado por el intermediario. Además, si los comercios y los clientes se involucran constantemente con un mismo intermediario, éste sería capaz a largo plazo de reconstruir sus perfiles de mercadotecnia, y ante la ausencia de una legislación apropiada al respecto (en la mayoría de los países), esto podría causarles desacuerdos y objeciones.

4.8.2 3-D Secure

Mientras el desarrollo a gran escala de SET fue obstaculizado por la complejidad de su infraestructura criptográfica, los fraudes con tarjetas han crecido en forma paralela a Internet y a la telefonía celular. La mayoría de estos fraudes son atribuibles a las tarjetas con bandas magnéticas, principalmente tratándose de estafas por identificación, pues tanto los recibos electrónicos impresos (vouchers) como los de copia al carbón denotan el número de tarjeta y la fecha de expiración. Esta situación motivó la introducción acelerada de tarjetas EMV con circuito integrado.

El sector bancario y financiero mundial está confrontando actualmente el problema de los fraudes con varias iniciativas. Una de estas comprende la autenticación de tarjetas usando un valor de 3 dígitos (o 4 para American Express) llamado Valor de Verificación del Cliente Para Visa y MasterCard (Customer Verification Value - CVV2), el cual no forma parte del número de una tarjeta, ya que no está grabado en el frente sino en la parte trasera de la tarjeta (normalmente en el espacio en blanco dedicado a la firma del usuario de la tarjeta). Los tarjetahabientes necesitan asentar este dato para completar las transacciones que realicen por correo, teléfono o por Internet.

Para las transacciones en Internet, Visa introdujo en 2001 una solución más simple (aunque menos elegante) que SET denominada 3-D Secure [12], la cual es operacional desde abril del año 2003, en el programa de verificación de Visa.

Esta arquitectura comprende tres dominios: el del banco expedidor, el del banco adquisidor, y el dominio de interoperabilidad, en el cual, el intermediario de Visa para 3-D Secure verifica las partes involucradas. La figura 4.20 muestra las 4 conexiones SSL (o TLS) punto-a-punto que

3-D Secure sustituye para una conexión de multipuntos establecida entre el comprador, el comercio, y la pasarela de pagos. Por tal motivo, a esta solución suele denominársele: 3-D SSL.

El sistema 3-D Secure fue creado con el objetivo de facilitar los pagos remotos con tarjetas bancarias (independientemente del canal de acceso: Internet, TV digital de banda ancha, SMS, WAP, etc.) y prevenir las tres fuentes principales de fraude: tarjetas no autenticadas, robo de números de tarjetas bancarias y reclamos fraudulentos por parte de comercios deshonestos.

Figura 4.20 Los dominios de 3-D Secure y las conexiones SSL/TLS punto-a-punto.

El uso de SSL/TLS en 3-D Secure, adiciona los servicios de confidencialidad, integridad y autenticación. Su modelo de operación preserva los canales bancarios existentes, y utiliza los circuitos de la red VisaNet para la verificación y el acuerdo financiero.

El sistema evita la instalación de software adicional en las computadoras de los usuarios, mientras que los comercios afiliados requieren agregar solamente un plug-in en su servidor de pagos. Visa mantiene el soporte de las transacciones, reemplazando la pasarela de pagos y la autoridad de certificación de SET, para lo cual provee las siguientes utilidades funcionales:

ƒ Un directorio de servicio que determine la existencia de un rango de números de tarjetas, e incluya la verificación del número de cuenta primaria (Primary Account Number –

PAN) de cada una de estas.

ƒ Una función de certificación para generar los diversos certificados X.509 que serán utilizados.

ƒ Un depósito (contenedor) que mantenga un historial de autenticaciones donde guarde cada intento de éstas, independientemente de si fueron exitosas o no.

4.8.2.1 Inscripción

Para participar en el Programa de Pagos Autenticados de Visa, los bancos: expedidor y

adquisidor proporcionan sus números de identificación bancarios (BIN’s) y el URL de sus respectivos servidores.

El banco expedidor selecciona el canal para la inscripción del cliente, así como el mecanismo de autenticación del tarjetahabiente, que puede ser desde una contraseña hasta un PIN, una tarjeta inteligente, una medición biométrica, etc. Visa mantendrá todos los datos relacionados con la tarjeta (identidad del tarjetahabiente, números de cuenta bancarios, versión, etc.) en un directorio seguro.

El banco adquisidor es responsable de suministrar el plug-in del comercio (Merchant Server Plug-in) y de auxiliar al comercio para su activación.

Para finalizar el proceso de inscripción, el cliente debe seleccionar un navegador (browser) que tenga la capacidad para ser el conducto entre el comercio y el banco adquisidor, sin requerir la intervención del comprador. Esta característica se encuentra incorporada en los navegadores más importantes: Microsoft Internet Explorer, Nestcape Navigator, Opera, etc.