Cartões de Benefício e Bandeiras Privadas (Private Label)

Os cartões inteligentes (smartcards) tornaram-se populares para uso individual devido a seu conjunto de funcionalidades e principalmente a seu elevado nível de segurança. Os bancos foram os pioneiros, e graças ao EMV – um padrão aberto de segurança e interoperabilidade criado pela Europay, MasterCard e Visa que define interações entre os dispositivos de processamento e os cartões, nos níveis físico, elétrico, dados e aplicação – diversas empresas podem usufruir dos benefícios desta tecnologia.

A maioria dos emissores de cartão adotou o EMV, inicialmente em função de regulamentações e para redução de fraudes. O padrão EMV prevê o uso de criptografia em todas as etapas do processo e é superior ao cartão magnético principalmente em três aspectos:

  • Autenticação do cartão – Os cartões são autenticados online pelo emissor utilizando um criptograma dinâmico (DDA – Dynamic Data Authorization) ou offline pelo terminal utilizando dados estáticos de autorização (SDA – Static Data Authorization) de acordo com os parâmetros de risco definidos pelo emissor.
  • Autenticação do portador – O titular é verificado através de credenciais codificadas e armazenadas no cartão pelo emissor no momento da personalização, protegendo contra roubo ou perda.
  • Autenticação da transação – São criados dados únicos para cada transação, impedindo que qualquer dado capturado possa ser utilizado para executar novas transações. As informações são enviadas juntamente com um criptograma específico ao emissor, que autoriza ou recusa a transação.

A indústria logo percebeu que o uso do chip, além da segurança e redução de custos operacionais, iria popularizar o uso dos cartões ao permitir novas funcionalidades tais como: programas de benefícios, controle de acesso, pagamentos móveis (cartões sem contato), entre outros.

Aos poucos, novos segmentos, como governo, varejo, transportes, entretenimento e telecomunicações despertaram interesse por esta tecnologia para oferecer soluções dedicadas na forma de cartões de benefício e bandeiras privadas (Private Label), empacotando serviços em novos instrumentos de pagamento e fidelizando clientes.

A estrutura tecnológica que suporta todo esse processo deve se basear em práticas de mercado, e os padrões EMV provêm um balanço adequado entre segurança, flexibilidade e interoperabilidade. Nesse contexto, são quatro os principais pontos de atenção no que se refere à segurança das transações eletrônicas:

  • Proteção da chave privada da instituição – A chave privada da instituição é o ponto mais alto da cadeia de confiança de um sistema de pagamento. O comprometimento desta chave invalida todos os cartões emitidos pela instituição. Desta forma o processo de emissão e armazenamento dessa chave deve ocorrer em um HSM (Hardware Security Module)
  • Processo de emissão / personalização de cartões – Durante o processo de emissão dos cartões são geradas chaves criptográficas, que posteriormente serão utilizadas para autenticação do portador e do cartão. Essa geração deve ocorrer em ambiente seguro (servidores são equipamentos de uso geral e não oferecem proteção necessária às chaves criptográficas) de modo que as chaves envolvidas no processo não sejam comprometidas
  • Transição entre domínios de segurança – Os dados de autenticação e da transação trafegam entre diversos participantes (emissor, adquirente, rede de captura, processadora) durante o processo de pagamento e tem sua segurança garantida por operações criptográficas. Somente um HSM é capaz de prover a segurança e o desempenho adequado para a realização dessas operações
  • Processo de autenticação / validação – O processo de autenticação e validação requer acesso a informações confidenciais (chaves criptográficas) e um grande poder de processamento no ponto central de modo a atender à demanda crescente por transações em tempo real, características tipicamente providas por um Hardware Security Module

Dada a importância da proteção das chaves de criptografia, é muito arriscado mantê-las armazenadas no disco rígido de servidores e, para demandas corporativas, é inviável mantê-las em smartcards ou tokens. Appliances HSM (ou Hardware Security Modules), além de oferecer a proteção adequada, aliviam a carga dos sistemas realizando complexas operações criptográficas e centralizam o gerenciamento das chaves criptográficas – mais segurança com menor custo operacional.

O uso de HSM para emissão de cartões e processamento de transações é a forma mais segura de se implementar sistemas de pagamentos a crédito, débito, pré-pago ou cartões de benefícios. A DINAMO Networks desenvolveu um dos melhores HSMs do mercado, de acordo com normas internacionais tais como FIPS 140-2 e homologado pelo Instituto de Tecnologia da Informação – órgão ligado a Casa Civil da Presidência da República que define e controla todos os aspectos técnicos e de segurança relacionados à Infraestrutura de Chaves Publicas Brasileira (ICP-Brasil).

Nossa equipe de engenheiros conhece profundamente as tecnologias, normas e padrões que envolvem o processamento de transações online e pode ajudá-lo a tirar o máximo proveito de nossas soluções para aperfeiçoar ou construir sua infraestrutura com o máximo de segurança e desempenho.

Para valores, formas de contratação e tipos de serviço, entre em contato:

Contactar

Para dúvidas e suporte, envie-nos um email:

Contactar

Agende uma visita