Proyecto Fin de Carrera Ingeniería de...

102
Equation Chapter 1 Section 1 Proyecto Fin de Carrera Ingeniería de Telecomunicación Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil Autora: Amalia de Dios León Tutor: Ángel Rodríguez Castaño Dpto. Ingeniería de Sistemas y Automática Escuela Técnica Superior de Ingeniería Universidad de Sevilla Sevilla, 2018

Transcript of Proyecto Fin de Carrera Ingeniería de...

Equation Chapter 1 Section 1

Proyecto Fin de Carrera

Ingeniería de Telecomunicación

Tecnologías para el desarrollo de sistemas de pago a

través del teléfono móvil

Autora: Amalia de Dios León

Tutor: Ángel Rodríguez Castaño

Dpto. Ingeniería de Sistemas y Automática

Escuela Técnica Superior de Ingeniería

Universidad de Sevilla

Sevilla, 2018

iii

Proyecto Fin de Carrera

Ingeniería de Telecomunicación

Tecnologías para el desarrollo de sistemas de pago a

través del teléfono móvil

Autora:

Amalia de Dios León

Tutor:

Ángel Rodríguez Castaño

Dpto. de Ingeniería de Sistemas y Automática

Escuela Técnica Superior de Ingeniería

Universidad de Sevilla

Sevilla, 2018

v

Proyecto Fin de Carrera: Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Autor: Amalia de Dios León

Tutor: Ángel Rodríguez Castaño

El tribunal nombrado para juzgar el Proyecto arriba indicado, compuesto por los siguientes miembros:

Presidente:

Vocales:

Secretario:

Acuerdan otorgarle la calificación de:

Sevilla, 2018

El Secretario del Tribunal

A mi familia

A mis maestros

vii

Agradecimientos

Quisiera agredecer en primer lugar a mis padres la oportunidad que me dieron para estudiar y junto a ellos

también a mis hermanos, por sus buenos consejos y por el apoyo incondicional que siempre recibo de

ellos.

También es el momento de agradecer a todos los profesores que pasaron por mi vida, por enseñarme que

la base del éxito está en el trabajo, el esfuerzo y la superación.

A mi tutor del Proyecto Fin de Carrera, por su tiempo y su ayuda, gracias Ángel, pero muy especialmente

a Rafa, a Rafa ‘Perilla’, porque si no hubiese sido por él creo que ahora no estaría escribiendo esto…

ix

Resumen

Hoy en día cada vez está más instaurado el uso de los dispositivos móviles para realizar pagos. El número de

aplicaciones existentes en el mercado para llevar a cabo tal fin es amplio y crece exponencialmente. Esto ha sido

posible gracias a la evolución considerable que han experimentado las comunicaciones móviles y la adopción

de ‘NFC’ como tecnología por excelencia para el desarrollo de este tipo de sistemas que unidas a las capacidades

con las que cuentan ahora los teléfonos móviles, que han pasado de ser un elemento meramente de comunicación

de voz y mensajes de texto a convertirse en una herramienta casi vital para la sociedad para soportar la

complejidad de este tipo de sistemas.

En este trabajo fin de carrera se da una visión del desarrollo de estos sistemas, los actores que intervienen,

presentándose algunas soluciones actuales destacadas en el sector y, ante la diversidad de aplicaciones existentes,

se propone un modelo seguro basado en la tecnología NFC, aplicable a todos los escenarios donde se puede dar

el pago móvil: a través de Internet en el comercio electrónico, transferencias entre personas P2P y compras en

tiendas físicas.

xi

Abstract

Nowadays, the use of mobile devices to make payments is increasingly established. The number of existing

applications in the market to carry out this purpose is wide and grows exponentially. This has been possible

thanks to the considerable evolution that mobile communications have experienced and the adoption of

'NFC' as a technology par excellence for the development of this type of systems together with the

capabilities that mobile phones now have, which have passed to become an almost vital tool for society,

going from being a mere element of voice communication and text messages to support the complexity of

this type of systems.

In this thesis, a vision is given of the development of these systems, the actors involved, presenting some

outstanding current solutions in the sector and, given the diversity of existing applications, a safe model

based on NFC technology is proposed to all the scenarios where mobile payment can be given: through

the Internet in electronic commerce, transfers between P2P people and purchases in physical stores

xiii

Índice

Agradecimientos viii

Resumen x

Abstract xii

Índice xiii

Índice de Tablas xv

Índice de Figuras xvi

Notación xix

1 Introducción 1 1.1 Antecedentes 1 1.2 Objetivos 3

1.2.1 Objetivo general 3 1.2.2 Objetivos específicos 3

1.3 Estructura de la memoria 4

2 Análisis de tecnologías y sistemas para el pago con móvil 6 2.1 Definición de pago móvil 6 2.2 Origen y evolución del pago móvil 7 2.3 Ecosistema del pago móvil 8 2.4 Clasificación de los pagos móviles 10

2.4.1 Pagos móviles por proximidad o remotos 10

2.4.2 Pagos móviles según la base del pago 11 2.4.3 Pagos móviles según la tecnología empleada 11 2.4.4 Pagos móviles según tipo de conexión 16

2.5 Modelos económicos pago móvil 16 2.5.1 Modelo centrado en el banco 16 2.5.2 Modelo centrado en el operador 17 2.5.3 Modelo del proveedor de servicio independiente 18 2.5.4 Modelo colaborativo 19

2.6 Situación actual del pago móvil 19 2.6.1 Soluciones de los fabricantes de dispositivos móviles 20 2.6.2 Soluciones de las entidades financieras 23 2.6.3 Soluciones de las operadoras 24 2.6.4 Conclusiones 24

2.7 Regulación del pago móvil 24 2.8 Perspectiva de los pagos móviles 25

3 Arquitectura del sistema de pago móvil 29 3.1 Introducción 29 3.2 Solución propuesta 30 3.3 Tecnologías empleadas 31

3.3.1 NFC 31 3.3.2 Protocolo HTTP 34 3.3.3 Protocolo SSL 35 3.3.4 Protocolo PRICE ISO 8583 35 3.3.5 Web Services 35 3.3.6 SOAP (SIMPLE OBJECT ACCESS PROTOCOL) 36 3.3.7 ANDROID 36

3.4 Arquitectura general del sistema 36 3.4.1 Módulo de Aplicación Cliente 37 3.4.2 Módulo de Aplicación Servidor 37 3.4.3 Módulo de sistema de Procesamiento de Transacciones de Pago 38

3.5 Arquitectura functional 38 3.5.1 Proceso de registro de usuario nuevo 39 3.5.2 Proceso de baja de usuario 40 3.5.3 Proceso de inicio de sesión 41 3.5.4 Proceso de registro de nueva tarjeta 42 3.5.5 Proceso de solicitud de baja de tarjeta 43 3.5.6 Verificación de disponibilidad de la tarjeta en servicio 44 3.5.7 Operativa de pago: Transacción Aprobada o Denegada 45 3.5.8 Operativa de pago: Transacción Cancelada por Usuario 46 3.5.9 Operativa de pago: Timeout de usuario vencido 46 3.5.10 Operativa de pago: Número de teléfono no dado de alta en el servicio 47

3.6 Modelo de datos 48

4 Sistema de procesamiento de transacciones de pago 53 4.1 Arquitectura técnica del sistema de Procesamiento de Transacciones de Pago 53 4.2 Consumo y provisión de servicios web 59 4.3 Intercambio de mensajes 60

4.3.1 Mensajes de operaciones en el subsistema 60 4.3.2 Descripción general de los servicios web 60 4.3.3 Envío Pago Instantáneo 63 4.3.4 Recepción Pago Instantáneo 64 4.3.5 Tratamiento de errores 65 4.3.6 Seguridad 66

5 Conclusiones y desarrollos futuros 11

xv

5.1 Conclusiones 11 5.2 Desarrollos futuros 11

Bibliografía 13

Glosario 14

Anexos 16

ÍNDICE DE TABLAS

Tabla 2–1 Comparativa de las aplicaciones de pago Android Pay, Samsung Pay y Apple Pay 20

Tabla 2–2 Atributos de un sistema de pagos móvil. 26

Tabla 4-1 Mensajes ISO 20022 para procesamiento de operaciones de pago. 60

Tabla 4-2 Servicios web en plataforma procesos online 62

Tabla 4-3 Servicios web en entidades bancarias 63

Tabla 4-4 Tratamiento errores servicios web: códigos de STATUS 65

ÍNDICE DE FIGURAS

xvii

Figura 1-1. Valor de transacciones y usuarios de pago móvil en puntos de venta. 2

Figura 2-1. Pago móvil. 7

Figura 2-2. Antecedentes al pago móvil. 8

Figura 2-3. Ecosistema del pago móvil. 10

Figura 2-4. Sistema de pagos móvil mediante SMS. 12

Figura 2-5. Pagos vía móvil según tecnología. 16

Figura 2-4. Modelo económico centrado en el banco. 17

Figura 2-5. Modelo económico centrado en el operador (Fuente: L. Chaix y D. Torre, 2011). 18

Figura 2-6. Modelo económico del proveedor de servicio independiente. 19

Figura 2-7. Modelo económico (Fuente: L. Chaix y D. Torre, 2011). 19

Figura 2-8. Presentación de Android Pay 21

Figura 2-9. Presentación de Samsung Pay 22

Figura 2-10. Presentación de Apple Pay 23

Figura 3-1. Propuesta de solución para el pago móvil. 30

Figura 3-2. Esquema NFC pasivo. 32

Figura 3-3. Esquema NFC activo. 32

Figura 3-4. Tipos de funcionamiento del dispositivo NFC. 33

Figura 3-5. Arquitectura general del sistema. 37

Figura 0-6. Arquitectura funcional del sistema. 38

Figura 3-7. Esquema de red financiera en España. 39

Figura 3-8. Proceso de registro de usuario nuevo. 40

Figura 3-9. Borrado de usuario en el servicio. 41

Figura 3-10. Proceso de inicio de sesión. 42

Figura 3-11. Registro de nueva tarjeta en el servicio. 43

Figura 3-12. Baja de tarjeta en el servicio. 44

Figura 3-13. Verificación de disponibilidad de la tarjeta en el servicio. 44

Figura 3-14. Operativa de pago: Transacción Aprobada o Denegada. 45

Figura 3-15. Transacción Cancelada por el usuario. 46

Figura 3-16. Operativa de pago: Timeout de usuario vencido. 47

Figura 3-17. Número de teléfono no dado de alta en el servicio. 47

Figura 4-1. Esquema de procesamiento de pago: Presentación delegada - Recepción directa 55

Figura 4-2. Esquema de procesamiento de pago: Presentación delegada - Recepción delegada 56

Figura 4-3. Esquema de conexión cliente-servidor de los servicios web. 61

Figura 4-4. Ejemplo de invocación de servicios web desplegados en la plataforma de proceso online. 62

xix

Notación

A* Conjugado

c.t.p. En casi todos los puntos

c.q.d. Como queríamos demostrar

∎ Como queríamos demostrar

e.o.c. En cualquier otro caso

e número e

IRe Parte real

IIm Parte imaginaria

sen Función seno

tg Función tangente

arctg Función arco tangente

sen Función seno

sinxy Función seno de x elevado a y

cosxy Función coseno de x elevado a y

Sa Función sampling

sgn Función signo

rect Función rectángulo

Sinc Función sinc

∂y ∂x

x◦

Derivada parcial de y respecto

Notación de grado, x grados.

Pr(A) Probabilidad del suceso A

SNR Signal-to-noise ratio

MSE Minimum square error

: Tal que

< Menor o igual

> Mayor o igual

\ Backslash

⇔ Si y sólo si

1

1 INTRODUCCIÓN

1.1 Antecedentes

Es evidente que en los últimos años, los avances tecnológicos originados han abierto las puertas a nuevas formas

de comercio. Con ánimo de expandirse, las empresas buscan día a día nuevas estrategias de mercado con las

cuales atraer la mayor cantidad de clientes posible. El servicio ofrecido al cliente es un factor esencial y clave

para lograr la fidelidad de los compradores potenciales y es por eso por lo que se intenta dar un paso más hacia

la búsqueda de nuevas soluciones que faciliten el comercio.

Actualmente es obvio que el uso de la tarjeta de crédito como medio de pago por la compra de los productos

adquiridos, está muy extendido. Una inmensa mayoría recurre a la tarjeta para pagar por sus compras

incluso aunque estas no sean de muy elevado coste (incluso para micropagos), porque en muchas ocasiones,

no se dispone de dinero en efectivo o es una forma más cómoda de pagar. La tarjeta ha sustituido al dinero

en efectivo como medio de pago por las compras realizadas.

Pero además hoy en día, ésta se encuentra vinculada al teléfono móvil y los pagos son efectuados a través

de éste, convirtiéndose en una alternativa real de pago a los métodos tradicionales. Entre los factores

determinantes que han impulsado el auge de estos sistemas podemos destacar la evolución y el uso

progresivo del teléfono móvil, los terminales móviles se han convertido en una herramienta casi vital para

la sociedad, lo cual ha contribuido a una gran aceptación y desarrollo de las capacidades que cada vez

cuentan con más funcionalidades. Han pasado de ser un elemento meramente de comunicación para cada

vez soportar servicios más allá de voz y mensajes de texto, convirtiéndose en un nuevo canal con el que los

bancos, operadoras, proveedores de software y el resto de los actores involucrados, no quieren dejar escapar

una oportunidad de negocio en la explotación de un mercado creciente.

Otro factor determinante en el desarrollo de estos sistemas, ha sido la evolución que han experimentado

las comunicaciones móviles y la aparición de nuevas tecnologías como ‘NFC’, que ha sido acogida como

la tecnología por excelencia en este tipo de sistemas. Todo esto propiciado por el factor sociológico, ya q

se cuenta con la aprobación por parte de los usuarios que la utilizan.

Los pagos con móvil en España, alcanzaron el año pasado la cifra de 350 millones de Euros y se prevé que

alcancen casi los 2.000 millones de Euros en el año 2021, como muestra la Figura 1-1. Valor de transacciones y

usuarios de pago móvil en puntos de venta (Fuente Statista Digital Market Outlook)

Introducción

2

Figura 1-1. Valor de transacciones y usuarios de pago móvil en puntos de venta.

Inicialmente, el pago por móvil se concebía como un medio idóneo para pagar en aquellas situaciones donde la

tarjeta de crédito no era aceptada y la disposición de dinero suelto con el importe exacto era complicada; por

ejemplo, en las recargas de móviles, las entregas a domicilio, taxis, las máquinas expendedoras de refrescos u

otros artículos.

Pero a medida que la tecnología avanzaba y la cultura del móvil se incorporaba a nuestras vidas, el pago por

móvil, se hizo extensible para enviar o pedir dinero a otra persona, sin necesidad de ir al banco y sin necesidad

de conocer los datos bancarios del beneficiario. El dinero transferido a otro abonado era ingresado en la cuenta

asociada a la tarjeta bancaria del usuario final. La comodidad y rapidez avalan esta forma de pago cada día más

utilizada.

Ante todo lo expuesto, surge la idea de mostrar las características y las arquitecturas sobre la que se sustentan

estos sistemas cada vez más usados para realizar pagos, prestando especial atención a los aspectos que tienen

que ver con la seguridad, disponibilidad y acceso y se propone presentar un modelo de provisión de pago

mediante tarjeta a través de teléfonos móviles haciendo uso de la tecnología NFC ya que hoy día, los teléfonos

móviles constituyen un recurso al alcance de prácticamente todo el mundo y su uso masivo ha permitido un

desarrollo considerable de la tecnología que lo soporta, desarrollando más facultad de memoria y adquiriendo

más capacidad de computo ampliando por tanto su utilidad más allá, de la telefonía convencional y abriéndose

paso al comercio móvil, el cual ha experimentado en la última década una evolución considerable gracias al uso

de esta tecnología.

3

3 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

1.2 Objetivos

1.2.1 Objetivo general

Dentro de los objetivos que se pretenden alcanzar con el desarrollo del proyecto, podemos destacar como

principal, dar una visión general de las características y arquitecturas que sustentan los sistemas de pagos móviles

así como el desarrollo e implementación de un modelo de sistema de pago mediante tarjeta a través del teléfono

móvil, como alternativa para escenarios móviles a los mecanismos ya existentes en los sistemas tradicionales en

escenarios fijos.

1.2.2 Objetivos específicos

Los objetivos específicos de este trabajo son los siguientes:

1. Explotar los recursos que ofrecen los terminales móviles y herramientas de comunicación con ellos, ya que

los teléfonos móviles no solo son usados para comunicación, sino que adquieren funcionalidades nuevas, como

herramientas para el comercio móvil

2. Aprovechamiento del uso masivo de los teléfonos móviles, ya que en la actualidad los costes cada vez más

reducidos de los equipos terminales y el despliegue de toda la infraestructura desarrollada para el uso de éstos,

hace que sea cada vez más accesible toda esta tecnología a un mayor número de población. Si se suma a esto,

el hecho de la constante expansión de las redes de telefonía móvil, los teléfonos móviles presentan cada vez en

mayor medida, una gran ventaja como medio de comercio electrónico con respecto a los medios tradicionales

de cobro con tarjetas

3. Análisis de tendencias y principales modelos en sistemas de pago a través de dispositivos móviles.

4. Profundizar en la tecnología de campo cercano Near Field Communication (NFC) como alternativa de

implementación de sistemas de pago a través de dispositivos móviles

5. Facilitar las transacciones a través del teléfono móvil a compradores y vendedores de la pequeña empresa que

no disponen de los medios económicos para optar por los sistemas tradicionales de terminales punto de venta

que por contrapartida están implantados en grandes comercios, ampliando por tanto su área de mercado a

clientes que no pagan en efectivo.

6. Reducción de costes en las transacciones aprovechando el hecho de que las comisiones por utilizar el teléfono

móvil como un Terminal de Punto de Venta serán mucho más reducidas.

7. Resaltar las características de seguridad impuestas para un servicio de transacciones bancarias como el

expuesto en el presente trabajo.

Introducción

4

1.3 Estructura de la memoria

La presente memoria está dividida en cinco capítulos. El contenido de cada uno de ellos es

el que se presenta a continuación:

Capítulo 1. Introducción

Da una visión general de la situación que ha motivado la propuesta de este proyecto, así como la

descripción de los objetivos que intenta abarcar

Capítulo 2. Análisis de tecnologías y sistemas para el pago con móvil

En este capítulo se define qué es un pago móvil exponiéndose los conceptos asociados al término, sus

orígenes, los actores implicados, así como las tecnologías más usadas en el desarrollo de estos sistemas.

Se describe además la situación en la que se encuentran estos sistemas y las perspectivas futuras de los

pagos móviles.

Capítulo 3. Arquitectura del sistema de pago móvil

En este capítulo presentaremos la arquitectura de la solución propuesta, como modelo unificado en

esquemas de pago presenciales o a distancia, dirigida a todo tipo de clientes que quieran consumir

este servicio de ‘Pago Móvil’ a través de los módulos que la conforman y las tecnologías utilizadas

para su implementación.

Capítulo 4. Sistema de Procesamiento de Transacciones de Pago

En este capítulo se presentan los componentes del módulo de sistema de Procesamiento de

transacciones de pago y cómo se llevan a cabo dichas transacciones

Capítulo5. Conclusiones y líneas futuras En este capítulo se narran las reflexiones realizadas una vez finalizado el proceso de desarrollo,

así como los temas que se han considerado interesantes para un desarrollo futuro

5

5 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Análisis de tecnologías y sistemas para el pago con móvil

6

2 ANÁLISIS DE TECNOLOGÍAS Y SISTEMAS PARA

EL PAGO CON MÓVIL

n este capítulo vamos a abordar la definición de pago móvil y los conceptos asociados al término,

sus orígenes, los actores que intervienen, así como las tecnologías más usadas en el desarrollo de estos

sistemas. Se describirá además la situación en la que se encuentran actualmente estos sistemas,

exponiendo algunas plataformas disponibles en el mercado. Finalmente se hablará de las perspectivas futuras de

los pagos móviles.

2.1 Definición de pago móvil

Los teléfonos móviles actuales (smartphones), constituyen un recurso al alcance de prácticamente todo el mundo

y su uso masivo ha permitido un desarrollo considerable de la tecnología que lo soporta, desarrollando más

facultad de memoria y adquiriendo más capacidad de computo, ampliando por tanto su utilidad más allá, de la

telefonía convencional y abriéndose paso al comercio móvil, el cual ha experimentado en la última década una

evolución considerable que ha traído una revolución tecnológica por su impacto económico y social.

El pago móvil, mobile payment o m-payment se define como:

"cualquier transacción de índole financiera de naturaleza particular o empresarial realizada por medio

de dispositivos móviles usados éstos, para iniciar, autorizar y confirmar el intercambio de valores

financieros".

E

7

7 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Figura 2-1. Pago móvil.

2.2 Origen y evolución del pago móvil

Durante los años 90, la aparición de Internet y el desarrollo del comercio electrónico, representaron un avance

radical en los hábitos de pago, en tanto en cuanto se permitía hacer operaciones sin necesidad de estar físicamente

en el sitio de realización de la compra. Las tarjetas de crédito, domiciliaciones, transferencias han estado

usándose en el comercio electrónico para realizar pagos desde entonces, sin embargo la tarea de mantener la

seguridad de estas transacciones ante posibles ataques, hicieron q se mejoraran estas formas de pago

tradicionales para ser usadas electrónicamente y que surgieran nuevas maneras de pagar en línea.

Surgen en este periodo los esfuerzos para generar una solución utilizando el móvil como herramienta para

efectuar el pago y sería Coca Cola en 1997, la primera en crear un sistema de pago por móvil q permitía comprar

refrescos en una máquina expendedora que procesaba la venta a través de la tecnología SMS.

Más tarde, ese mismo año, se introduce el primer sistema de pago móvil con tecnología RFID, que permite a los

usuarios pagar de manera rápida sus consumos de gasolina. Será en 2004 cuando las tecnológicas Nokia, Sony

y Philips se unen para formar el NFC Forum a fin de promover la seguridad y facilidad de uso de la comunicación

de campo cercano NFC en la realización de transacciones y es al año siguiente cuando la compañía Nokia lanza

el primer teléfono habilitado con NFC para pagos. El mercado de pagos móviles alcanza los 69 mil millones de

dólares en ventas en el año 2009. Más tarde, en el año 2011, Google lanza su primer servicio de pagos móviles

denominado Google Wallet, basado en la tecnología NFC

Apple, años más tarde, en 2014 anuncia el lanzamiento de Apple Pay, servicio que permite a los usuarios del

iPhone realizar pagos móviles mediante la tecnología NFC a través de las aplicaciones Touch ID y Passbook.

En 2015 Samsung Pay se incorpora al mercado de los pagos móviles. Los consumidores pueden ahora utilizar

sus dispositivos móviles basados en NFC junto con la tecnología MST (Magnetic Secure Transmission)

permitiendo que los pagos móviles sean más accesibles. En ese mismo año es anunciado Android Pay

oficialmente para smartphones que con tecnología NFC y sistema operativo KitKat 4.4 o superior de Google.

Se unen un poco más tarde prácticamente la totalidad de las entidades financieras en España, con aplicaciones

propias para pagar con el 'smartphone', siendo BBVA la primera en ofrecer el pago móvil

Para el año 2020, se prevé que el 90 por ciento de los usuarios de smartphones habrá realizado al menos un pago

móvil.

La progresiva evolución y el uso creciente de smartphones, junto con el acceso a internet de alta velocidad desde

Análisis de tecnologías y sistemas para el pago con móvil

8

el móvil, han contribuido al crecimiento de las transacciones móviles. Es por ello que las entidades financieras

invierten en modelos de negocio digitales, ganando cada vez más adeptos con los métodos de pagos móviles.

No han pasado más de 25 años de eso y el escenario sobre los pagos en línea ha cambiado enormemente y en la

actualidad las transacciones financieras y comerciales están apuntando hacia los sistemas de pagos móviles de

una forma cada vez más creciente.

Figura 2-2. Antecedentes al pago móvil.

2.3 Ecosistema del pago móvil

Los servicios de pago móvil requieren la interacción de muchos actores que se encuentran involucrados directa

o indirectamente, conocidos a todos ellos como stakeholders. Al tratarse el pago móvil de un ecosistema que se

basa en la transacción financiera, las entidades bancarias adoptan un rol predominante, pero no único.

A continuación se muestran los intervinientes involucrados en el ecosistema del pago móvil dando lugar a la

arquitectura del pago móvil. Estos son:

Las Entidades financieras o Proveedores de Servicios Financieros

Son los que proporcionan liquidez para el proceso de compra. Pueden ser bancos, emisores de tarjetas

de crédito o uniones de crédito o cualquier organizaciones que poseen suficientes fondos para

permitir estas operaciones.

El operador de telefonía, empresa de telecomunicaciones o Proveedor de Redes Móviles

Es el que provee el servicio de redes para el pago móvil.

El proveedor de servicios de Aplicación de pago móvil.

9

9 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Este emplea una infraestructura (hardware y software), sirviendo de intermediario entre las

instituciones financieras y los operadores de redes móviles.

Redes y sistemas de medios de pago

Los pagos electrónicos actuales se realizan mediante tarjetas de crédito y débito, emitidas por los

bancos, que ofrecen su servicio tanto al comerciante (adquiere el pago) como al consumidor final

(emite la tarjeta). Los sistemas informáticos y las redes de comunicación segura que permiten

dichos pagos son operados por empresas especializadas, procesadores de pago, que aseguran la

integridad de los servicios.

Los usuarios.

Los usuarios del servicio de aplicación móvil son los comerciantes y los compradores (consumidores)

y deben registrarse en el sistema antes de usar sus servicios.

Además de los participantes mencionados, existen otros actores secundarios, que no intervienen tan

directamente en el proceso o, al menos, no con tanta frecuencia, pero que son necesarios para un correcto

funcionamiento. Estos son:

Las autoridades

El Estado con su regulación y normativas en sus distintos niveles debe promocionar este método de

pago

Las empresas emisoras de tarjetas de pago.

MasterCard y Visa se han convertido en aliados para desarrollar iniciativas de pago móvil.

La Autoridad Certificadora.

Entidad encargada de velar por los certificados de seguridad en todo el proceso del pago móvil

Proveedores de software

Permiten el desarrollo, integración y mantenimiento de aplicaciones no sólo para los usuarios y

comercios, sino también para el resto de actores: bancos, redes de medios de pago y operadores.

Son también responsables de los chips en las tarjetas bancarias y la SIM de los teléfonos

Fabricantes de equipos

Tanto los fabricantes de dispositivos móviles, cómo los proveedores de TPV para los comercios,

etc.

Gestores de Servicios de Confianza (TSM: Trusted Service Managers)

Análisis de tecnologías y sistemas para el pago con móvil

10

Permiten la gestión de los servicios de provisión y posventa en el ecosistema de pagos móviles de

una manera independiente y segura. Estos gestores de servicio neutrales pueden facilitar los

acuerdos operativos entre los principales actores.

Figura 2-3. Ecosistema del pago móvil.

2.4 Clasificación de los pagos móviles

Para los pagos realizados a través de dispositivos móviles, existen varias clasificaciones atendiendo a varias

características, como por ejemplo a si el pago se produce de forma presencial (por proximidad) o por el contrario

se realiza en escenarios donde éste se produce de manera remota dando una clasificación de pagos por

proximidad o remotos, otra clasificación podría hacerse atendiendo a la tecnología empleadas para llevar a cabo

estos sistemas, otra según base del pago (uso de medios de pago bancarios o pagos cargados en la factura del

teléfono).

2.4.1 Pagos móviles por proximidad o remotos

2.4.1.1 Pago por proximidad

El pago por proximidad suele hacer referencia a los pagos efectuados “sin contacto” (“contactless”), en los que

la credencial de pago se almacena en el dispositivo móvil y se transmite de forma inalámbrica mediante el

empleo de tecnología NFC (Near Field Communication), a un terminal de pago dedicado y compatible. En otras

palabras, el dispositivo móvil actúa como una tarjeta de pago “sin contacto” y se convierte, de este modo, en una

nueva modalidad de pago.

11

11 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

El pago mediante tecnología “sin contacto” también se puede efectuar de forma remota; por ejemplo, es

posible realizar una compra en línea pasando el dispositivo móvil por un lector de NFC conectado a un

ordenador personal.

2.4.1.2 Pago remoto

El pago remoto cubre los pagos efectuados a través de un explorador (“browser”) web móvil o de una

aplicación app residente en un teléfono inteligente, utilizando el mismo como dispositivo para autenticar

de forma remota la información personal almacenada. Las soluciones de pago remoto también se pueden

emplear para realizar transacciones presenciales.

2.4.2 Pagos móviles según la base del pago

Uno de los principales problemas que se tienen para los pagos móviles es la decisión acerca de qué entidad va a

proveer el soporte para la infraestructura financiera: el banco, el operador móvil, una empresa privada/pública o

un consorcio. Hay cuatro modelos disponibles para soluciones de m-payments, de acuerdo con la base del pago:

cuenta bancaria, tarjeta de crédito, facturación por el operador de red móvil y dinero electrónico.

2.4.3 Pagos móviles según la tecnología empleada

Existe varias formas de realizar un pago a través del móvil basada en la tecnología con la que se implementan

estos sistemas: a través de SMS o alguna tecnología de mensajería similar como USSD, a través de una

aplicación móvil diseñadas para los smartphones, sin contacto con móviles que disponen de la tecnología

necesaria para ello, o simplemente a través de la web (un explorador web móvil). A continuación se expone el

funcionamiento de cada uno de estos métodos de pago vía móvil.

2.4.3.1 SMS como sistema de pago móvil

El servicio de mensajes cortos, SMS, es una de las tecnologías móviles más simples y la más extendida. Surgió

como parte del estándar de telefonía móvil digital GSM y actualmente se encuentra disponible en prácticamente

todas las redes incluyendo la 4G y todos los teléfonos móviles

Desde su nacimiento, debido a la gran aceptación por parte de los usuarios de telefonía móvil, se aprovechó

tiempo después para usarlo como solución en los sistemas de pago con móvil. Fue por tanto el primer método

de pago móvil en aparecer. Comenzó a utilizándose para la compra de melodías, imágenes, juegos, y para otro

tipo de micropagos a través del móvil.

SMS consiste en una cadena de caracteres que se envían por el canal de señalización de la red al centro de

servicios de mensajes cortos SMSC (Short Message Service Center) de la operadora móvil, el cual se encarga

de almacenar y distribuir estos mensajes por todos los elementos de la red. Cuando se envía un mensaje SMS,

para asegurar que dicho mensaje llegue de forma exitosa hasta el emisor, el SMSC adiciona información en el

Payload del SMS. Esta información registra fecha de envió, el número del remitente, número del destinatario y

el número SMSC para que empiece la gestión.

Un elemento fundamental para los sistemas de pago móvil basados en el servicio SMS es el Gateway de SMS,

que hace de intermediario entre la operadora móvil y el sistema de pago. Un sistema de pago con móvil basado

en el servicio de SMS, consta de los siguientes elementos:

Análisis de tecnologías y sistemas para el pago con móvil

12

Figura 2-4. Sistema de pagos móvil mediante SMS.

1 El usuario envía un SMS a un número corto con una palabra clave que identifique el contenido que

desea.

2 La plataforma genera aleatoriamente una clave única que envía tanto al teléfono móvil del usuario

como a la página web de la empresa cliente.

3 En la web de la empresa cliente se permite el acceso al contenido para la contraseña recibida y la

empresa recibe el pago correspondiente menos una comisión que cobra la plataforma por los servicios.

4 El usuario consigue acceder al contenido de pago empleando la contraseña que ha recibido en el mensaje

SMS de respuesta en su teléfono móvil.

Aunque no existe una solución abierta que obligue a que los pagos por móvil a través de SMS sean de una

manera determinada, y por tanto, cada plataforma de pago puede tener sus variantes, aquí se va a exponer un

modo general de funcionamiento que puede estar sujeto a variaciones dependiendo de quién implemente la

solución.

Para el pago físico, en general la forma de pagar con móvil mediante SMS sigue el siguiente procedimiento:

- El comprador le indica al comerciante que desea pagar mediante el móvil.

- El comerciante elige esa opción en el TPV y le pide el número de teléfono al comprador.

- La plataforma de pago correspondiente le envía un sms al usuario indicando la referencia del producto

y el coste, y el usuario tendrá que responder el sms introduciendo el NIP (Número de identificación

personal).

- Una vez que la plataforma de pago haya recibido la confirmación del pago por parte del usuario, envía

la petición de pago hacia la entidad de pago del cliente para que se procese y se cargue el coste del

producto que ha comprado

13

13 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

La entidad de pago del cliente comprueba si es posible realizar la transacción, y si la transacción es posible envía

la confirmación tanto a la plataforma de pago como al servidor del comerciante y si todo va bien, al comprador

le llegará un SMS indicándole que la operación ha sido realizada con éxito, y al TPV también llegará la

confirmación de que la transacción se ha realizado.

Normalmente el envío de los mensajes entre el usuario y la plataforma de pago está automatizado mediante una

aplicación que reside en el terminal móvil del usuario, ya que una de las ventajas del SMS es que puede

interactuar con una aplicación cliente que se encuentre instalada en el móvil. Esta aplicación puede estar

almacenada tanto en la memoria del terminal móvil como en la SIM del teléfono móvil del usuario del pago y

es la encargada antes del envío del SMS, de encriptar el mensaje ya que éstos solo van cifrados desde la estación

móvil del usuario hasta la estación base del proveedor de servicios y en el tramo durante el cual el SMS viaja

entre el proveedor de servicios y la plataforma de pago móvil no y por tanto el código NIP podría ser

interceptado.

Entre las ventajas de estos servicios, destacan:

- Es rápido de usar

- No es necesario acceso a Internet, pues funciona con proveedor de GSM

- Telefonos 100% compatibles con este servico

- Metodo bueno para micropagos

- Globalmente usado

- No entran en juego datos personales o detalles de la cuenta (registrados dentro de los servidores de las

plataformas de pago)

Como inconvenientes:

- No aporta fiabilidad para pagos SMS de transacción grandes

- Velocidad lenta en envío de mensajes

- Seguridad: El cifrado SMS solo se da en el interfaz de radio

- Alto coste de funcionamiento y de apoyo a las transacciones de pagos

Este es el sistema en que se basó BOKU cuando salió al mercado en EEUU, que combinó la experiencia de las

compras por internet con los pagos a través del móvil cuando aún estaban apareciendo los primeros smartphones

en el mercado y pocos clientes disponían de internet en el móvil. A través del sistema BOKU, cuando el cliente

quería comprar un producto en internet, únicamente debía seleccionar la opción “pago con BOKU” y recibía un

SMS que debía contestar autorizando el pago con la letra Y (“yes”), de forma que el importe del producto

comprado era cargado a su factura del móvil.

Estos sistemas además de usarse para estos pequeños pagos, y para comprar productos, también se han utilizado

para hacer transferencias a través del móvil.

2.4.3.2 Pago móvil a través de aplicaciones móviles

La mayoría de estos métodos funcionan mediante la asociación de la aplicación a una cuenta bancaria, a una

Análisis de tecnologías y sistemas para el pago con móvil

14

tarjeta de crédito o débito, o por PayPal.

A continuación se muestra el ejemplo de plataforma de pago mediante app, la de la aplicación GoogleCheckout

para móvil. Para poder utilizar este sistema de pago, el usuario necesita disponer de un Smartphone con un

sistema operativo que soporte la aplicación GoogleCheckout. Además también deberá disponer en el

Smartphone de un navegador web (micronavegador) que le permita acceder a la página web del comerciante.

El comprador accede a la página Web del comerciante y elige el producto que desea comprar. Una vez el

cliente ha elegido el producto, elige la opción de pago GoogleCheckOut. Si el cliente accede por primera

tendrá que darse de alta en la aplicación facilitando un nombre de usuario, contraseña y demás datos

personales, entre los que se encuentran los datos bancarios. Lo bueno de este sistema de pago es que los

datos bancarios solo se introducen una vez cuando el usuario se da de alta en el sistema. A partir de ese

momento los datos quedan almacenados en el servidor de la aplicación debidamente encriptados y cuando

el usuario acceda a la plataforma bastará con que facilite su nombre de usuario y contraseña para efectuar

la compra. Es un sistema de pago muy similar al utilizado por Paypal.

Las comunicaciones de Googlecheckout con las instituciones financieras para realizar el pago, son establecidas

mediante sesiones encriptadas SSL o bajo redes privadas o VPNs. Y si la compra se realiza correctamente,

GoogleCheckout informa tanto al cliente como al comerciante de que la transacción se ha realizado

correctamente.

Otros ejemplos de aplicaciones que permiten realizar pagos pueden ser aplicaciones que funciona mediante la

asociación del ID de Apple a una tarjeta de crédito o débito o cualquier otra aplicación para realizar pagos y

transferencias como las desarrolladas por los bancos.

En ocasiones, estas aplicaciones se crean para que funcionen conjuntamente con la tecnología NFC que permite

hacer pagos móviles sin contacto.

2.4.3.3 Pago móvil sin contacto

Los pagos por proximidad o “contactless payments”, se basan en realizar un pago por la mera aproximación

del dispositivo móvil al terminal de pago. Esta modalidad requiere que el móvil disponga de tecnología de radio

de corto alcance como la tecnología NFC (Near Field Communication). Se trata de una tecnología basada en

una interfaz inalámbrica que permite la comunicación entre dos dispositivos próximos (en un radio de menos de

20 cm) estableciendo una conexión wireless. Los dispositivos equipados con estas tecnologías permiten realizar

pagos, pero es necesario que en el punto de venta exista una infraestructura de detectores.

Para poder realizar los pagos con la tecnología NFC desde el terminal móvil, es necesario que el móvil

incorpore nativamente la tecnología NFC, que básicamente consiste en un chip, o también existe la

posibilidad de que este chip sea incorporado al teléfono mediante una tarjeta de memoria externa o la

propia SIM. Además de disponer del chip NFC el terminal móvil deberá disponer de una aplicación que

le permita ejecutar el con la tecnología NFC.

El comerciante debe disponer de un terminal de venta virtual TPV que implemente la tecnología NFC y le

permita al cliente realizar el pago mediante ese método. El cliente tendrá vinculados a la aplicación NFC los datos de la tarjeta de crédito y una vez se efectúe la

comunicación entre el terminal móvil y el TPV, el resto de la infraestructura de pago funcionaría igual

que cuando un usuario se dispone a efectuar un pago con tarjeta mediante datafono

La información que viaja entre el terminal móvil y el TPV durante la comunicación NFC viaja encriptada.

La diferencia principal estriba en que la transacción es asíncrona, es decir, una vez que el TPV del

comerciante recibe los datos bancarios del cliente a través del protocolo NFC, no realiza la comunicación

con la entidad bancaria en el mismo momento sino que almacena la petición y efectúa la transacción más

tarde, haciendo que el pago sea mucho más rápido y ágil.

15

15 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Entre las ventajas de este tipo de servicios, destacan:

- Es un sistema robusto

- Presenta la comodidad de tener la tecnologia en el móvil y activarlo cuando el usuario desee

- El tiempo de conexión entre dispositivos que actúan para la realización del pago es muy rápido (< 0,1

segundos) y dicha conexión se realiza automáticamente

- Implementa protocolos de seguridad para la transmisión de datos

Y como inconvenientes podemos destacar:

- Implementaciones más costosas

- La programación de HW y SW compleja

- La penetración de teléfonos de última generación con chips NFC es baja aún en algunos países

Un ejemplo de sistemas de pago basados en NFC es Google Wallet, la cual se empezó a utilizar en EE.UU y

permitía a los usuarios almacenar en el teléfono los datos sus tarjetas de crédito (al principio solo tarjetas de

crédito Mastercard), para eliminar la necesidad de llevarlas físicamente en una billetera.

Google Wallet permite almacenar dinero en el teléfono móvil a través de una aplicación, la cual se asocia con

una tarjeta de crédito y permite mantener un saldo de efectivo a disposición en cualquier momento

La tecnología NFC es parte Google Wallet, por lo que su uso está enfocado para smartphones con sistema

operativo Android 4.4 o superior, y a las tiendas físicas que dispongan de un TPV con chip NFC

integrado. El usuario simplemente acerca el equipo al TPV para realizar el pago y se descuenta el saldo

desde la aplicación. Para los pagos en línea, se accede mediante la aplicación del móvil y de descuenta el

monto a pagar Google Wallet.

Google Wallet ofrece un nivel de seguridad alto ya que los datos de tarjetas o bancarios no son enviadas

directamente, si no que la aplicación sirve como puente y desde ahí se realizar todo el intercambio de

información con las tiendas o comercios.

2.4.3.4 Pago móvil a través de un explorador web móvil

Son los pagos que se llevan a cabo en el ámbito del comercio electrónico usando el teléfono móvil para la

realización del pago.

Análisis de tecnologías y sistemas para el pago con móvil

16

Figura 2-5. Pagos vía móvil según tecnología.

2.4.4 Pagos móviles según tipo de conexión

Existe una categorización definida según el tipo de conexión: los que requieren una conexión a la red en todo

momento para la realización de una transacción (pagos on-line) y aquellos que no la requieren (pagos off-line).

Pagos on-line: las acciones de pago y depósito se ejecutan al mismo tiempo, ya que la conexión obliga

y permite la comprobación de la validez de los fondos monetarios para la realización de la transferencia.

Pagos off-line: una muy buena opción para contextos en donde la conexión a la red no siempre se

garantiza o donde no se puede manejar mucho tráfico en la red.

2.5 Modelos económicos pago móvil

Se definen los siguientes modelos económicos relativos al pago mediante móvil:

Centrado en el banco: las aplicaciones móviles o dispositivos son proporcionados por un banco a los

clientes.

Centrado en el operador: el servicio se ofrece a través de un operador de red móvil, quien puede ofrecer

una billetera móvil independiente, con dinero en efectivo o dinero electrónico almacenado en la SIM o

en una aplicación software

Modelo de proveedor de servicio independiente: una institución privada o pública o una empresa,

independiente de las instituciones financieras y los operadores de redes móviles es el proveedor de

servicios de pago móvil

Colaborativo: los bancos, operadores móviles y un tercero de confianza cooperan para la prestación del

servicio de pago móvil, incluyendo la emisión de dispositivos que aseguren la fidelidad de los clientes

de marca compartida.

2.5.1 Modelo centrado en el banco

Se enfocan especialmente en la institución que se encarga de proveer el servicio. El banco constituye el nodo

central del modelo, y es quien maneja las transacciones y se encarga de la administración de las cuentas de los

17

17 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

usuarios dentro de una plataforma tecnológica. Este modelo puede ser considerado como una evolución de la

utilización de la tarjeta de crédito. El banco provee el medio de pago (aplicación teléfono móvil) para los

usuarios, y quienes reciben los pagos, comúnmente intermediarios comerciales, pueden o no tener cuenta en el

mismo banco. Es necesario, que opere un sistema general de compensación entre los bancos involucrados, y se

pagan las tarifas que impongan los operadores móviles involucrados en la operación.

Figura 2-6. Modelo económico centrado en el banco.

2.5.2 Modelo centrado en el operador

El rol estratégico pertenece a un operador de telecomunicaciones, quien provee la tecnología, opera las

transacciones y compensa el sistema. Antes de realizar los pagos, es necesario que el sistema de pagos móviles,

se conecte a cuentas bancarias o se hagan depósitos de efectivo. Después de la compensación de las

transacciones, hay la necesidad de acreditar las cuentas o pagar en efectivo a los últimos receptores. En este

nivel, un tercer actor debe proveer la liquidez al sistema, y ser compensado por el operador.

Este modelo ha sido ampliamente difundido por las operadoras telefónicas en el mundo.

Análisis de tecnologías y sistemas para el pago con móvil

18

Figura 2-7. Modelo económico centrado en el operador (Fuente: L. Chaix y D. Torre, 2011).

2.5.3 Modelo del proveedor de servicio independiente

La característica de este modelo, es la participación de un tercer actor, distinto a una institución financiera, o un

operador móvil, el cual cumple la función de intermediario entre los bancos, las compañías de telefonía móvil,

los agentes y los usuarios finales.

Un ejemplo de este modelo pueden ser las compañías de internet, quienes han tenido experiencia en el manejo

de transferencias monetarias y la organización del comercio electrónico, como es el caso de PayPal.

19

19 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Figura 2-8. Modelo económico del proveedor de servicio independiente (Fuente: L. Chaix y D. Torre, 2011).

2.5.4 Modelo colaborativo

En este modelo trabajan conjuntamente los intermediarios financieros con las operadoras telefónicas móviles.

Las instituciones financieras se encargan del manejo financiero y las operadoras de telefonía móvil, se encargan

de la seguridad de la red móvil por donde se transmitirá la información.

Figura 2-9. Modelo económico (Fuente: L. Chaix y D. Torre, 2011).

2.6 Situación actual del pago móvil

Las soluciones de pago móvil que han salido al mercado son muy numerosas y parecidas, por lo que ninguna ha

destacado de forma notable respecto del resto. Para llevar a cabo el estudio se realiza una división entre las

aplicaciones proporcionadas por los fabricantes de dispositivos móviles, aquellas que desarrollan las entidades

financieras y las que ofrecen las operadoras móviles, siendo las prestaciones de todas ellas muy parecidas.

Análisis de tecnologías y sistemas para el pago con móvil

20

2.6.1 Soluciones de los fabricantes de dispositivos móviles

La Tabla 2.1 muestra una breve comparativa entre las diferentes características que aportan las tres

aplicaciones de pago más destacables: Android Pay, Samsung Pay y Apple Pay

Tabla 2–1 Comparativa de las aplicaciones de pago Android Pay, Samsung Pay y Apple Pay.

Android Pay

Android Pay se lanzó al mercado en el año 2015 de la mano de Google como un sistema de pago para todos los

dispositivos con sistema operativo Android 4.4 o superior habilitados con NFC con el fin de crear para el ususrio

una experiencia de compra fácil y segura.

El sistema de pago Android PAy, uso del Host Card Emulation (HCE) permitiendo a las aplicaciones

móviles que se ejecutan en sistemas operativos compatibles representar virtualmente y de forma segura a

través del NFC una tarjeta inteligente para poder realizar una transacción aprovechando los procesos

criptográficos basados en hardware sin necesidad de usar el elemento seguro físico

Para realizar un pago con Android Pay, simplemente será necesario acercar el teléfono al TPV de forma

que se realice una conexión a través de NFC.

En cuanto a seguridad, Android Pay está basada en tokens, de forma que los detalles de las tarjetas de

crédito o débito no se envían con el pago, sino que se utiliza un identificador único que reemplaza el

número de la tarjeta de crédito con 16 dígitos, proporcionando una capa extra de seguridad. Al momento

21

21 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

de realizar una compra, el usuario podrá ver una confirmación del pago como extra de seguridad que

muestra dónde se ha realizado la transacción

Figura 2-8 Presentación de Android Pay

Samsung Pay

Samsung Pay es un sistema de pago que facilita las transacciones seguras para sus clientes, mediante el uso

de sus dispositivos móviles para pagar en puntos de venta, que dispongan de un chip NFC y junto con la

tecnología MST (Magnetic Secure Transmission). La gran ventaja de Samsung Pay sobre sus rivales, se

debe a la incorporación de la tecnología MST que permite a los usuarios hacer pagos en casi cualquier TPV,

ya sea que disponga de la tecnología NFC o sea un lector tradicional de tarjetas con banda magnética.

En cuanto a seguridad, Samsung Pay trabaja con tres capas de seguridad:

1. Los datos codificados de las tarjetas de crédito se almacenan en el elemento seguro del dispisitivo

2. El uso de la huella dactilar añade un nivel extra de seguridad para completar los pagos.

Los pasos para el uso de Samsung Pay son:

1. Registrar los datos de las tarjetas de crédito en la aplicación.

2. Deslizar hacia arriba en la pantalla principal para seleccionar la tarjeta para el pago.

3. Autorizar el pago de forma segura mediante la huella dactilar.

4. Acercar el teléfono al TPV para completar la transacción.

Análisis de tecnologías y sistemas para el pago con móvil

22

Figura 2-9 Presentación de Samsung Pay

Apple Pay

En el año 2014, se lanza al mercado el sistema de pagos Apple Pay basado en la tecnología NFC,

integrada en la aplicación Passbook, y para activarla únicamente se requiere asociar un número de tarjeta

de crédito o débito. Al tener la información de las tarjetas almacenadas en la aplicación, el proceso de pago se

reduce a colocar el dispositivo móvil cerca del TPV y confirmar la transacción mediante la huella digital de

Touch ID. El dispositivo reproduce una vibración notificando que la transacción fue realizada de manera

exitosa.

A continuación, se detalla el proceso de funcionamiento de Apple Pay:

1. Los usuarios vinculan en Apple Pay sus tarjetas de crédito MasterCard, Visa o American Express, ya

sea directamente en la aplicación, o mediante la importación de la información desde las cuentas de

iTunes.

2. Se configura un nivel de seguridad mediante el registro de la huella dactilar a través de Touch ID. Este

es el sustituto del código PIN tradicional.

3. En los comercios establecimientos habilitados para Apple Pay, solo será necesario acercar los

dispositivos a los TPV, para posteriormente confirmar el pago con la huella dactilar.

En referencia a la seguridad de la Apple Pay, cuando el usuario agrega información de tarjetas de

crédito o débito, esta no se almacena en los servidores de Apple, ya que se le asigna un número de

23

23 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

cuenta al dispositivo, que será cifrado y almacenado de forma segura en el dispositivo. En cada

transacción, se crea un identificador único de un solo uso con el número de cuenta del dispositivo,

para ello Apple Pay utiliza la tokenización no

Figura 2-10 Presentación de Apple Pay

2.6.2 Soluciones de las entidades financieras

Son numerosos los bancos que se han querido reinventar tecnológicamente y han apostado por el móvil como

método de pago, creando sus propias aplicaciones. Algunos ejemplos son: Bankia, Bankinter, BBVA,

CaixaBank, ING Direct, Sabadell, Santander, Evo, etc.

Todas estas aplicaciones presentan funcionalidades similares, que incluyen la posibilidadde establecer pagos

presenciales en establecimientos físicos, sin la necesidad de utilizar la tarjeta inteligente. La mayoría de

aplicaciones móviles utilizan la tecnología NFC para establecer las comunicaciones entre el móvil y el terminal

de pago.

Algunas aplicaciones almacenan los números de las tarjetas físicas del cliente en la cartera virtual, con el fin de

emular el pago cómo si la operación se desencadenase con dicha tarjeta. Otras aplicaciones permiten disponer

de una tarjeta únicamente virtual, que no presenta relación aparente con los datos sensibles de la tarjeta física

del titular, con la finalidad de aportar robustez a la transacción.

El caso de la aplicación Twyp Cash de ING se diferencia fundamentalmente del resto de aplicaciones en que no

utiliza NFC para efectuar el pago presencial, si no que genera un código que debe ser escaneado o introducido

Análisis de tecnologías y sistemas para el pago con móvil

24

por el dependiente del establecimiento en su servidor.

Por lo general, las aplicaciones móviles financieras pueden permitir realizar otras gestiones, proporcionando

servicios de valor añadido al cliente, como la consulta de movimientos, dar de baja tarjetas, modificar el valor

del PIN, o realizar transferencias de móvil a móvil de forma inmediata (algunas de ellas, como Bankia, Sabadell,

BBVA, Bankinter, EVO e Imaginbank, incluyen Bizum, mientras que ING Direct dispone del servicio Twyp).

2.6.3 Soluciones de las operadoras

Las tres principales operadoras de nuestro país también disponen de aplicaciones de pago móvil:

Orange Cash

Los clientes de esta operadora podrán utilizar el servicio de pago móvil integrado en esta aplicación si disponen

de tarjeta SIM con NFC (que la compañía ofrece de manera gratuita) y un smartphone compatible (con sistema

operativo Android). En la aplicación es necesario introducir manualmente los datos sensibles de las tarjetas

físicas que se deseen asociar al servicio para operar con TPV contactless.

Vodafone Wallet

La compañía se unió a la revolución de los pagos móviles en 2014. Esta aplicación sólo está disponible para

Android y funciona vía NFC, pudiendo añadir tarjetas o una cuenta de PayPal.

Movistar

Movistar permite el pago móvil vía NFC o bien como Orange, a través de tarjetas SIM NFC, que también oferta

en los distribuidores, pero únicamente para los transportes públicos de Valencia y Málaga. De momento, no

ofrecen una solución para pagos en general como los anteriores.

2.6.4 Conclusiones

Como se puede percibir, han sido muchos los proyectos que se han lanzado en paralelo y con diferente grado de

interoperabilidad para llevar a cabo el pago, ya que no todas las aplicaciones funcionan en todos los dispositivos

móviles, ni en todos los comercios, ni con todas las tarjetas de todos los bancos. Este hecho ha supuesto una

barrera para la adopción global del nuevo método de pago, siendo un hándicap para el despliegue masivo de los

dispositivos móviles como medio transaccional. Como ninguno de ellos ha cuajado de forma sustancial, ha sido

imposible avanzar en el proceso de convergencia.

2.7 Regulación del pago móvil

Para facilitar la interoperabilidad y garantizar la calidad y seguridad de los servicios, existen diversas

entidades que están desarrollando recomendaciones y normativas de estandarización:

Consejo Europeo de Pago (EPC: European Payment Council) es un organismo privado formado por bancos

europeos cuya misión es coordinar y facilitar la toma de decisiones en el ámbito de pagos. El objetivo inmediato

25

25 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

actual del es promover y dar soporte para la implantación de la Zona Única de Pagos en Euros (SEPA: Single

Euro Payments Area).

Asociación GSM (GSMA) es un organismo que representa los intereses a nivel mundial (con presencia en 220

países) de las compañías del sector de las comunicaciones móviles, y que agrupa unos 800 operadores de redes

móviles y más de 200 empresas proveedoras de equipos, sistemas, servicios y consultoría.

Smart Card Alliance es una organización multisectorial sin fines de lucro, que trabaja para estimular la

comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes, principalmente

en EEUU y otros paises americanos. La alianza invierte en la educación sobre los usos apropiados de la

tecnología para la identificación, pago y otras aplicaciones, y aboga por el uso de la tecnología de tarjetas

inteligentes de una manera que proteja la privacidad y mejore la seguridad e integridad de los datos.

NFC Forum fue formado para promover el uso de la tecnología Near Field Communication mediante el

desarrollo de especificaciones, garantizando la interoperabilidad entre los dispositivos y los servicios, y

educando al mercado sobre la tecnología NFC. Creado en 2004, el foro cuenta con 190 miembros. Los

fabricantes, desarrolladores de aplicaciones, e instituciones de servicios financieros trabajan juntos para

promover el uso de la tecnología NFC en electrónica de consumo, dispositivos móviles, y PC, entre otros.

EMVCo compañías Europay, MasterCard y Visa fundaron con el propósito de desarrollar especificaciones

para transacciones de pago seguras

GlobalPlatform es una asociación multisectorial sin ánimo de lucro y cuyo objetivo es identificar, desarrollar

y publicar especificaciones que facilitan el despliegue y la gestión segura e interoperable de múltiples

aplicaciones integradas en la tecnología de chips.

Consejo de Normativas para la Seguridad del Sector de Pagos con Tarjeta es un foro mundial abiertocreado

en 2006 fundado por American Express, Discover Financial Services, JCB International, MasterCard, y Visa

Inc. Y es responsable del desarrollo, la gestión, la educación y el conocimiento de las normativas de seguridad

en el ámbito de los medios de pago con tarjeta. Estas normas incluyen el Estándar de Seguridad de Datos (PCI

DSS), el Estándar de Aplicaciones de Pago (PA-DSS) y los requisitos para el PIN de transacciones seguras

(PTS). Los cinco fundadores del consejo (American Express, Discover Financial Services, JCB International,

MasterCard, y Visa Inc.) han acordado incorporar la normativa PCI8 para los requisitos técnicos de cada uno de

sus programas de cumplimiento de seguridad de datos.

2.8 Perspectiva de los pagos móviles

El mercado de los servicios de pago por móvil se encuentra en una fase de definición del modelo inicial y

desarrollo posterior hacia el modelo final. Por lo tanto, es necesario reflexionar sobre las bases en las que se

asienta el modelo para asegurar que dicha evolución permitirá cumplir la expectativas de los clientes, asegurando

la viabilidad de los modelos de negocio de las empresas que contribuyen en la cadena de valor.

Para dinamizar esta reflexión se plantean los siguientes atributos que, desde una perspectiva centrada en

el cliente, son imprescindibles para la adopción de los nuevos servicios y el desarrollo pleno del mercado

La estrategia para el desarrollo de estos nuevos servicios, debe plantearse desde la perspectiva de los

clientes, asegurando los atributos mínimos que se describen en la tabla 2.2 que garanticen su aceptación

con unos niveles de calidad y precio razonables

Análisis de tecnologías y sistemas para el pago con móvil

26

Tabla 2–2 Atributos de un sistema de pagos móvil.

Atributos Pagos Móviles

Descripcion

Atributos Pagos Móviles

Seguridad

Los datos de identificación y claves de los clientes, así como

las transacciones, deben ser seguras, utilizándose

mecanismos de encriptación de extremo a extremo que

garanticen la confidencialidad.

Los procesos de tratamiento de información deberán estar

certificados y sujetos a auditorías periódicas.

Transparencia y

confidencialidad

Los usuarios de los servicios deberán tener capacidad de

control y acceso a la información personal y transacciones

que manejan los proveedores de los servicios, de tal forma

que se asegure el grado de confidencialidad que los usuarios

requieran

Universalidad del servicio

Los medios de pago por móvil deberán ser aceptados de

forma generalizada en cualquier tipo de entidad comercial

que acepte tarjetas.

No debe existir umbral mínimo de gasto.

La emisión de tarjetas de pago a débito no podrá denegarse a

ningún usuario

Portabilidad

Los usuarios podrán portar sus servicios de pago o

identificación de un operador móvil a otro de forma

inmediata y sin coste adicional, al igual que se realiza

actualmente para el servicio telefónico móvil.

Para el usuario no será necesario volver a reactivar o

contratar los servicios de pago que ya estuviera disfrutando.

Simplicidad y consistencia

El interfaz de acceso para la configuración de los medios de

pago e identificación deberá ser simple para que cualquier

usuario, independientemente de sus conocimientos técnicos,

sea autosuficiente en la puesta en marcha de los servicios.

Los procesos y funciones básicas deberán ser homogéneas e

independientes del proveedor de servicios, dado que en caso

27

27 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

contrario pueden inducir a los usuarios a errores en su

utilización

Accesibilidad y fiabilidad

La cobertura geográfica del servicio deberá ser máxima, por

lo que será necesario que existan acuerdos entre los

operadores móviles para maximizar la disponibilidad del

servicio tanto en exteriores como interiores.

Los proveedores de servicios de pago deberán proporcionar

acuerdos de nivel de servicio que incluyan indicadores de

disponibilidad del sistema y del tiempo de respuesta de las

operaciones.

Servicios de valor añadido

Los servicios finales de monedero electrónico tendrán una

funcionalidad básica común sobre la que se podrán definir

servicios de valor añadido diferenciales (registro de

operaciones, alarmas de uso, análisis de gasto, etc.).

Servicio gratuito usuarios

La utilización de los servicios de pago por móvil no estará

sujeta a comisiones para los usuarios.

29

3 ARQUITECTURA DEL SISTEMA DE PAGO MÓVIL

n este capítulo presentaremos la arquitectura de la solución propuesta, como modelo unificado en

esquemas de pago presenciales o a distancia, dirigida a todo tipo de clientes que quieran consumir este

servicio de ‘Pago Móvil’ a través de los módulos que la conforman y las tecnologías utilizadas para su

implementación.

3.1 Introducción

Se consideran los siguientes aspectos técnicos para la arquitectura de la plataforma

A nivel de protocolos de comunicación

La plataforma soportará los siguientes protocolos:

o HTTP/HTTPS. A través de este protocolo se maneja toda la información que ingrese al sistema

o ISO 8583 (PRICE). A través de este protocolo se realiza las transacciones con los Autorizadores y

se comunican las entidades bancarias con el procesador de pagos.

o ISO 20022

o SOAP

A nivel de almacenamiento de datos

La plataforma debe soportar el manejo de base de datos SQL, las cuales permiten el manejo de gran cantidad de

datos a mayor velocidad.

A nivel de manejo de información

La plataforma debe poder procesar las transacciones de forma segura.

A nivel de balanceo de carga

La plataforma de poder desplegarse en uno o más servidores sin que esto afecte la configuración y el manejo de

E

Arquitectura del sistema de pago móvil

30

transacciones. Esto permitirá que si el sistema crece, no se verán afectado el sistema desplegado.

A nivel de despliegue

La plataforma debe poder funcionar en la nube, así como en cualquier centro de datos, sin que eso afecte la

implementación y administración del sistema.

3.2 Solución propuesta

La solución consiste en un nuevo canal de pago seguro basado en NFC, en el cual los usuarios del servicio,

dispondrán de una aplicación instalada en el teléfono móvil, que les permitirá realizar pagos con tarjeta a través

de su teléfono, mediante enlace a un servidor Web, el cual previa autenticación del usuario en una base de datos

de uso del servicio, enlazará con la entidad de procesamiento de transacciones (procesador de pago) que enrutará

la petición de pago a la entidad bancaria emisora de la tarjeta en función del PAN recibido en la solicitud (los

seis primeros dígitos del PAN constituyen el BIN que identifica el banco emisor o propietario de la tarjeta) a

través de la red de pago y este después de comprobar los fondos en la cuenta asociada a dicha tarjeta, responderá

al centro procesador del pago si se autoriza o por el contrario se deniega la petición, procediendo o no a cargar

el importe de la transacción en la cuenta del cliente y a abonar dicho importe en la cuenta del beneficiario del

pago realizado

Los tres escenarios de pago móvil que pueden darse son:

- Pago móvil P2P – transferencia entre usuarios

- Pago móvil en el comercio de forma presencial

- Pago móvil en el comercio electrónico (m-commerce)

A continuación se presenta la arquitectura de la solución aplicable a todos estos escenarios. El diagrama de flujo

de la propuesta se representa en la Figura 3.1. La numeración de las flechas secuencia las comunicaciones que

tienen lugar en el transcurso de un pago móvil entre usuarios del servicio propuesto.

Figura 3-1. Propuesta de solución para el pago móvil.

31 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

1. El usuario quiere realizar un pago móvil a un beneficiario del cual conoce solo su número de teléfono, no

disponiendo de los datos de la cuenta a la que va a realizar la transferencia.

A través de la aplicación instalada en su teléfono móvil y después de haber sido dado de alta en el servicio,

previa autenticación en el mismo, puede proceder a realizar pagos a cualquier cliente dado de alta también en el

servicio con solo conocer su número del teléfono móvil y con cualquiera de sus tarjetas, no teniendo que ser

necesaria usar la registrada en el sistema y asociada al número de teléfono. El usuario, contraseña y número

identificador del equipo son los datos que se utilizan para la autenticación en la base de datos a la que se conecta

la aplicación servidor.

2. El cliente teclea número de teléfono móvil que se transmitirá al centro procesado de pagos desde el servidor

del servicio propuesto y tras confirmar que hay un cliente registrado en el sistema con ese número de teléfono.

3. El centro procesador del pago (Redsys), solicitará en la pantalla del dispositivo móvil, el tecleo de importe

del pago (solicitud de los datos del pago) y que se aproxime la tarjeta con la que se quiere realizar dicho pago,

que es leída mediante tecnología NFC.

4. La aplicación del móvil transmite los datos recuperados de la tarjeta y la información de la operación cifrada

al centro procesador de transacciones de pago

5. El centro procesador analiza el PAN recibido y envía la operación a la entidad emisora correspondiente, la

cual verifica los datos de la transacción y aplica la lógica de negocio pertinente (comprobando la disponibilidad

de fondos en la cuenta del titular de la tarjeta, que ésta no presente ningún bloqueo por impago, etc),

proporcionando respuesta a Redsys con la resolución de la operación.

6. Redsys registra la operación y notifica la resolución al cliente a través del servidor. En el servidor Web del

sistema de pago móvil no se registrarán datos de las operaciones para que no tenga que estar certificado ni

cumplir y renovar las auditorías relacionadas con las certificaciones PCI DSS

7. El cliente recibe la confirmación de que su pago ha sido o no realizado.

8. El procesador de pagos comunica a la Entidad del usuario beneficiario de ese pago o comerciante, los datos

del pago para el abono en la cuenta del beneficiario.

3.3 Tecnologías empleadas

3.3.1 NFC

Near Field Communication (NFC), es una tecnología de comunicación inalámbrica de corto alcance y alta

frecuencia (13,56 MHz, banda en la que no es necesario disponer de licencia) basado en la técnica de RFID,

permite el flujo bidireccional de datos a una distancia teórica de 10 cm, pero en la práctica no mayor a 4 cm.

Apareció como una opción de comunicación inalámbrica entre dispositivos móviles a inicios del presente siglo,

y últimamente se ha convertido en una tecnología por excelencia que se está implementando en todos los

modelos de teléfono móvil.

Presenta ventajas en cuanto a la velocidad de comunicación, el coste, la robustez, la provisión de servicios y la

Arquitectura del sistema de pago móvil

32

convergencia de su uso, en comparación con el resto de conexiones existentes disponibles en un teléfono móvil.

Por este motivo, cada vez son más los dispositivos que integran esta funcionalidad sin limitar su uso, permitiendo

explorar a los desarrolladores el potencial que ofrece esta plataforma abierta para la creación de nuevas

aplicaciones.

Es importante mencionar los modelos de funcionamiento que presenta NFC, ya que existen dos técnicas de

operatividad, que se rigen en función de la fuente que suministra la energía para el intercambio de información

entre dos dispositivos. Estos son:

Pasivo

En este modo de funcionamiento, uno de los dispositivos no utiliza suministro interno de energía, sino que,

cuando se aproxima lo suficiente al otro elemento (activo), se aprovecha de su campo electromagnético gracias

al acoplamiento inducido (ver Figura 3-2). De esta forma, el elemento pasivo puede obtener la energía de la

modulación de la carga y transferir su respuesta. Este es el modo de funcionamiento por excelencia que utilizan

las tarjetas inteligentes. Cabe destacar que los dispositivos móviles cuando emulan el comportamiento de una

tarjeta (HCE) para llevar a cabo un pago móvil en un TPV, también utilizan este método.

Figura 3-2. Esquema NFC pasivo.

Activo

En este caso, ambos dispositivos obtienen la energía de forma interna, generando cada uno de ellos su propio

cambio electromagnético para la transmisión de los datos (ver Figura 3-3).

Figura 3-3. Esquema NFC activo.

33 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

El comportamiento operativo de los dispositivos NFC, viene determinado por el modelo de funcionamiento

descrito. La tecnología NFC destaca por ser flexible y eficiente, presentando hasta tres configuraciones distintas

de trabajo, según el rol que desempeñan los dos actores partícipes en la comunicación. A continuación, se

detallan las tres vertientes existentes (ver Figura 3-4), definidas y particularizadas desde la perspectiva de un

dispositivo móvil que incorpora la funcionalidad NFC.

Emulación de la tarjeta inteligente: En este modo de funcionamiento, el dispositivo NFC se comporta y

actúa como si se tratase de una tarjeta inteligente sin contactos, siendo de cara a un lector o a un TPV, como

un elemento pasivo del que se puede extraer la información de interés mediante comandos de lectura. Esta

configuración es compatible con características de seguridad avanzadas, y por lo tanto es utilizado para

transacciones financieras, control de acceso y gestión de entradas. El ejemplo por excelencia de la

empleabilidad de este comportamiento, es el pago móvil en un TPV en soluciones de comercio presencial

Peer-to-Peer: Esta arquitectura posibilita la sincronización instantánea y el intercambio de información

entre dos dispositivos activos que utilicen NFC. Por ejemplo, dos teléfonos móviles podrían establecer este

tipo de comunicación con el fin de intercambiar archivos, contenido digital o configurar el enlace para otra

tecnología inalámbrica. La tecnología NFC no tiene como fin la transferencia masiva de datos, pero sí que

presenta alta velocidad para la gestión del enlace (o emparejamiento) entre dos dispositivos que se deseen

conectar a través de redes inalámbricas de mayor ancho de banda, como Bluetooth o WiFi.

Modo Lectura/Escritura: Esta configuración permite que el dispositivo NFC activo sea capaz de transmitir

información y leer el contenido de las tarjetas sin contacto y de las etiquetas NFC. El conjunto de las tarjetas

que muestran interoperabilidad con los dispositivos NFC, se definen en las especificaciones publicadas por

NFC Forum. Este organismo se encarga de emitir especificaciones para asegurar la estandarización entre

dispositivos y servicios, formando al mercado (fabricantes, desarrolladores de aplicaciones, instituciones

financieras, consorcios de transporte, etc.) sobre la tecnología NFC. En relación a las tarjetas compatibles,

se definen, entre otros formatos, las especificaciones basadas en ISO 14443 Tipo A y B (correspondientes

a los estándares internacionales de tarjetas inteligentes sin contacto). El ejemplo del uso de este modo de

funcionamiento es la utilización del protocolo EMV Contactless para emprender la comunicación entre el

dispositivo móvil y la tarjeta inteligente sin contactos.

Figura 3-4. Tipos de funcionamiento del dispositivo NFC.

Cabe destacar, que existen cinco etapas presentes en toda comunicación NFC, independientemente del modo de

comportamiento establecido.

Arquitectura del sistema de pago móvil

34

Descubrimiento: En esta fase los dispositivos implicados inician la fase de rastreo, con su posterior

reconocimiento.

Autenticación: Los dispositivos se verifican entre ellos, para comprobar si están autorizados o si deben

establecer algún tipo de cifrado adicional en la comunicación.

Negociación: En esta etapa se definen parámetros comunes para entablar la comunicación, como la

velocidad de transmisión, la identificación del dispositivo, el tipo de aplicación, el tamaño de los datos,

y si procede, también definen la acción a desencadenar.

Transferencia: Una vez negociados y adaptados los parámetros para la comunicación, se procede a

realizar el intercambio o la lectura de los datos.

Confirmación: El dispositivo receptor confirma el estado de la comunicación y de la transferencia de

la información.

A pesar de que la tecnología NFC se limita a un rango de comunicación de tan solo 10 cm teóricos y no

superir a 4cm en la práctica, existen algunas amenazas de seguridad que se que se podrían dar al

momento del intercambio de información entre dispositivos NFC, entra ellas destacan:

Interceptación de comunicaciones (Eavesdropping / sniffing): En este tipo de amenaza, un

atacante sería capaz de interceptar y leer la información transmitida entre los dispositivos.

Modificación de datos (Data Modification): Un atacante, en lugar de únicamente escuchar,

podría modificar los datos que se transmiten entre los dispositivos NFC.

Ataque de hombre en el medio (Man-in-the-Middle): En teoría un ataque poco probable, dada la

distancia a la que se debe realizar la transferencia de información entre los dispositivos, sin

embargo, no se la descarta como una posible amenaza para la integridad.

Estafa (Phishing): Un atacante podría modificar una etiqueta para que se redirija a sitios

fraudulentos, para robar la información del usuario.

Clonación de tickets (Ticket cloning): Un ticket generado en un sistema NFC podría ser clonado

y compartido con otros atacantes, antes de ser verificado.

3.3.2 Protocolo HTTP

El Protocolo de Transferencia de HiperTexto (Hypertext Transfer Protocol) es un protocolo cliente-servidor que

articula los intercambios de información entre los clientes Web y los servidores HTTP. Desde el punto de vista

de las comunicaciones, está soportado sobre los servicios de conexión TCP/IP, y funciona siguiendo el esquema

petición-respuesta entre un cliente y un servidor: un proceso servidor escucha en un puerto de comunicaciones

TCP (por defecto, el 80), y espera las solicitudes de conexión de los clientes Web. Una vez que se establece la

conexión, el protocolo TCP se encarga de mantener la comunicación y garantizar un intercambio de datos libre

de errores. HTTP se basa en sencillas operaciones de solicitud/respuesta. Un cliente establece una conexión con

un servidor y envía un mensaje con los datos de la solicitud. El servidor responde con un mensaje similar, que

contiene el estado de la operación y su posible resultado. Todas las operaciones pueden adjuntar un objeto o

recurso sobre el que actúan; cada objeto conocido por su URL.

35 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

3.3.3 Protocolo SSL

El protocolo HTTPS la versión segura del protocolo HTTP. HTTPS utiliza un cifrado basado en el protocolo

Secure Socket Layers (SSL). Este es un protocolo que se sitúa entre el protocolo de capa de red (Ej.: TCP) y el

protocolo de la capa de aplicación (Ej.: HTTP). SSL proporciona mecanismos para establecer una comunicación

fiable entre un cliente y un servidor. Facilita la autenticación y privacidad de la información en internet mediante

el uso de la criptografía. Sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el

cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves

públicas para los clientes. El SSL se ejecuta en una capa entre los protocolos de aplicación como el Hypertext

Transfer Protocol (HTTP). Proporciona sus servicios de seguridad utilizando la criptografía de llave pública y

privada. Para el intercambio de los datos entre el servidor y el cliente, utiliza algoritmos de cifrado simétrico.

Para la autenticación, usa el algoritmo de cifrado de clave pública (RSA).

El protocolo HTTPS es la versión segura de HTTP. Permite el cifrado y autenticación digital igual que SSL. La

diferencia consiste, en que HTTPS es un protocolo de nivel de aplicación, es decir, que extiende el protocolo

HTTP por debajo. HTTPS es usado para asegurar páginas World Wide Web (www, para aplicaciones de e-

commerce, utilizando certificados de clave pública para verificar la identidad de los participantes.

3.3.4 Protocolo PRICE ISO 8583

El protocolo ISO 8583 es el estándar de la International Organization for Standardization (ISO), para

transacciones financieras con mensajes originados en una tarjeta; estándar para sistemas que intercambian

transacciones electrónicas realizadas por los usuarios de tarjetas de crédito. Cuando se genera una transacción,

normalmente proviene de un punto de venta (TPV) o un cajero automático y ésta viaja a través de una red hacia

el sistema que emitió la tarjeta para obtener la autorización financiera correspondiente. La transacción contiene

información como el número de tarjeta, su caducidad, cvv, número de comercio, el importe y moneda, etc. Las

transacciones pueden ser compras, retiros, depósitos, reintegros, pagos y transferencias entre cuentas. El ISO

8583 establece un formato de mensaje y un flujo de comunicación para que diferentes sistemas puedan

intercambiar estas transacciones. En general todas las redes de tarjetas se basan en este protocolo para poder

transaccionar. Aunque el ISO 8583 define un standard común, normalmente cada red o sistema adapta el

standard para su propio uso con campos modificados a sus necesidades particulares (este protocolo para este

proyecto se ha adaptado).

Un mensaje ISO 8583 consta de manera general de los siguientes elementos: un Header (cabecera), Application

Data (datos de la aplicación) y un Trailer. El header y el trailer envuelven la application data y son utilizados

para ruteo e integridad del mensaje. La application data está formada por un Message Type Indicator (MTI),

BIT MAP (indica cuáles elementos están presentes) y el ISO Data Element (los campos del mensaje) Application

Data. # Campo Descripción 0 MTI Message Type Indicator. 1 - Bitmap 64 (o 128) bits, indica la presencia o

ausencia de otros campos. 2 - 128 Otros campos especificados en el bitmap. Header Message Type Indicator

(MTI). Este es un campo numérico de 4 dígitos que clasifica la función de alto nivel del mensaje. Un MTI

incluye la versión ISO 8583, la clase (Message Class), la función (Message Function) y el origen del mensaje

(Message Origin). Posición 1. Indica la versión del estándar ISO 8583.

3.3.5 Web Services

Un servicio web es un conjunto de estándares y protocolos que sirve como medio de comunicación entre

aplicaciones web. El protocolo en que típicamente se trabaja es HTTP y HTTPS. Un web service usa un sistema

de mensajería estándar como XML o JSON y no está ligado a ningún sistema operativo o lenguaje de

programación. En términos más técnicos, un web service, es un sistema de software distribuido cuyos

componentes pueden ser mostrados y ejecutados en distintos dispositivos. El web service recibe las peticiones

del cliente y genera respuestas. Los web services por lo regular pueden estar basados en dos metodologías:

SOAP o REST. En este trabajo solo expondremos SOAP ya que es el utilizado.

Arquitectura del sistema de pago móvil

36

3.3.6 SOAP (SIMPLE OBJECT ACCESS PROTOCOL)

Es el protocolo estándar de los Web Services. Este protocolo está basado en XML y no se encuentra casado a

ninguna plataforma o lenguaje de programación. También es el protocolo más aceptado por la mayoría de las

plataformas. Si bien SOAP es un protocolo, éste no es exactamente un protocolo de comunicación entre

mensajes como lo es el HTTP. SOAP básicamente son documentos XML y se necesita otro protocolo para la

transmisión de estos documentos como el protocolo HTTP o cualquier otro capaz de transmitir textos. Los

mensajes SOAP están compuestos por un tag principal llamado Envelope, que está dividido en una cabecera o

Header y en un cuerpo o Body

El uso de los web services facilita la reutilización de funciones de una aplicación en distintas plataformas o

lenguajes ya sea para un uso personal en distintos proyectos, para comercializarlos o adquirir prestaciones de

terceros. Se puede referenciar funciones que se estén ejecutando en otra computadora o servidor sin importarnos

en qué están programados ni en qué plataforma están corriendo. Uno de los ejemplos más comunes del uso de

los web services se encuentra en los sitios web de comercio electrónico, los cuales hacen uso de un Web Service

para validar los datos de las tarjetas de crédito de sus clientes. Normalmente este Web Service es provisto por

algún banco o entidad financiera que actúa como intermediario entre el comercio y las tarjetas de crédito.

3.3.7 ANDROID

Android es un sistema operativo inicialmente desarrollado por Android Inc. en el 2005 y está basado en el kernel

de Linux. Actualmente, el desarrollo, enfoque y las publicaciones de este SO están a cargo de Google y del Open

Handset Alliance (OHA). Este sistema operativo proporciona todas las interfaces necesarias para desarrollar

aplicaciones que accedan a las funciones del teléfono de una manera sencilla en el lenguaje Java con el uso del

Android SDK (Android Software Development Toolkit)

Es el sistema operativo con mayor presencia dentro del mercado móvil y tiene un gran respaldo por la

comunidad de desarrolladores y esto gracias a que se trata de un software libre.

3.4 Arquitectura general del sistema

El sistema propuesto presenta una arquitectura distribuida cliente/servidor, de tres capas:

La Capa de Presentación constituye la interfaz de usuario que se visualiza en la pantalla del teléfono

móvil del usuario del sistema, capa que permite obtener la información sobre los usuarios, enviar la

información del usuario a los servicios de la Capa de Negocios para su procesamiento y recibir y

presentar los resultados del procesamiento de los servicios de negocios.

La Capa de Negocios es la responsable de recibir la información proveniente de la Capa de Presentación,

aplicar la lógica de negocio y de interactuar con el servidor de datos para ejecutar las operaciones,

automatizar (envío y recepción de información) y de enviar el resultado procesado al nivel de

presentación.

La Capa de Datos incluye los sistemas de administración de bases de datos relacionales y es la

responsable de la integridad, almacenamiento y recuperación de los datos del mismo

Los módulos que la conforman:

37 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Figura 3-5. Arquitectura general del sistema.

Se describe a continuación los elementos que constituyen el sistema mostrado en la figura anterior.

3.4.1 Módulo de Aplicación Cliente

Hace referencia a la aplicación móvil (app), que se descargará al teléfono móvil, que cumple la función de

brindar la interface al usuario, que permita de una manera sencilla y segura la comunicación con la aplicación

servidor para la realización de los pagos móviles.

Para comunicación con el servidor, el teléfono móvil iniciará el establecimiento de una conexión segura, para lo

cual recibirá el certificado del Servidor Web el cual estará firmado por una Entidad emisora de certificados

electrónicos y una vez validado dicho certificado, se establecerá conexión segura SSL a través de HTTPS entre

el teléfono móvil y el servidor Web del servicio.

Es el momento en el que el usuario a través de la aplicación instalada en el teléfono móvil envía los datos para

autenticación en el sistema que serán validados en la base de datos y si el usuario es quien dice ser, se le

solicitarán los datos del pago en la pantalla del dispositivo móvil y que se aproxime la tarjeta con la que se quiere

realizar dicho pago, que es leída mediante tecnología NFC. Estos datos viajarán cifrados conexión vía TCP/IP

al servidor de procesamiento de la transacción del pago.

Para realizar la conexión del teléfono móvil al servidor Web del servicio de Pago Móvil, primero se hará la

conexión a la red del operador de telefonía al que está subscrito el teléfono móvil, el cual a su vez permitirá

enviar los datos a través de Internet.

3.4.2 Módulo de Aplicación Servidor

El Módulo de Aplicación Servidor, se compone de varios sistemas: una aplicación Web que cumple con la

función de implementación de la lógica de negocio, de un servidor de base de datos SQL Server que almacena

los datos de los usuarios del servicio y una relación de las transacciones realizadas por éstos. La información de

la transacción completa se registrará en la base de datos de las entidades bancarias y del procesador de pago,

siendo en esta base de datos un registro de si la transacción se ha procesado correctamente o no y qué usuario

Arquitectura del sistema de pago móvil

38

ha sido el desencadenante de la misma, para llevar un histórico en el sistema y conocer el volumen de servicio

proporcionado y para la administración sencilla de la base de datos, contará con un sistema administrador para

dicha base de datos.

El servidor de base de datos guardará la información de los usuarios del servicio. En esta base de datos no se

guardarán datos bancarios de los usuarios adheridos al sistema, tales como PAN, fecha caducidad de tarjeta, el

CVV ó código de verificación. Estos se registrarán en el alta de usuario del servicio dentro de los servidores de

Redys de forma segura. Tampoco se registrarán datos sensibles de las transacciones realiazadas, ya que al igual

que los datos bancarios, estas operaciones se registrarán en la base de datos del procesador de pago y se enviarán

por lotes a las correspondientes entidades bancarias para el apunte de los cargos y abonos en las cuentas de

cliente. Esto es así para que el proveedor de este servicio de pago no necesite certificarse en la PCI PSS

3.4.3 Módulo de sistema de Procesamiento de Transacciones de Pago

Este módulo lo conforman las Entidades bancarias y sus sistemas core de almacenamiento y procesamiento de

peticiones, el Procesador de Pago y el Switch Autorizador de las transacciones, que se encuentran conectados a

través de las redes de medios de pago. Dada la importancia y complejidad de este módulo, se describe en el

capítulo 4.

3.5 Arquitectura functional

Figura 3-6. Arquitectura funcional del sistema.

Se observa que en los escenarios donde se quiere aplicar el sistema de pagos, los stakeholders que participan

39 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

son:

Usuario: Usuario del servicio de ‘Pago móvil’

Entidad bancaria: Banco de emisor y receptor de la operación de pago

Procesador del servicio de Pago - Centro procesador de transacciones financieras: Encargado de

gestionar la interconexión entre las distintas entidades financieras que participan en una transacción y

conectar en el resto de elementos involucrados en el pago. Tiene la misión de comprobar la fiabilidad de la

transacción, la verificación de los datos del cliente y la autorización por parte de la entidad emisora. En

España existen las procesadoras de CECA y Redsys.

Proveedor del servicio de pago movil propuesto de ‘Pago Móvil’: Encargado de administrar el sistema

a nivel servicio ofrecido y de conectar al usuario con el procesador del servicio de pago.

Red de pago: Sistema constituido por diferentes entidades y una procesadora de pago que posibilita y

favorece la comunicación de las transacciones financieras.

Figura 3-7. Esquema de red financiera en España.

A continuación se muestran los casos de usos considerados más relevantes en el sistema, mostrándose sus flujos

de ejecución.

1. Proceso de registro de usuario nuevo en el sistema.

2. Proceso de baja de usuario en el sistema

3. Proceso de inicio de sesión.

4. Operativa de registro de nueva tarjeta en el servicio.

5. Operativa de solicitud de baja de una tarjeta en el servicio.

6. Verificación de disponibilidad de la tarjeta en el servicio.

7. Operativa de pago: Transacción Aprobada o Denegada.

8. Operativa de pago: Transacción Cancelada por el usuario

9. Operativa de pago: Timeout de usuario vencido.

10. Operativa de pago: Número de teléfono no dado de alta en el servicio.

3.5.1 Proceso de registro de usuario nuevo

Un nuevo usuario se descarga la aplicación de pago, y tras la instalación de la misma, debe registrarse en el

servicio a través de la app para poder hacer uso del nuevo método de pago ofrecido.

Arquitectura del sistema de pago móvil

40

El flujo teórico del proceso es el siguiente. Una vez que el cliente introduce los datos requeridos para una nueva

alta en el sistema, se manda de forma automática una petición desde el dispositivo móvil al servidor de la

aplicación del Proveedor del servicio de pago móvil. De forma prácticamente simultánea, el dispositivo móvil

envía la información del cliente necesaria para la solicitud de una alta nueva al centro procesador. Dicho

procesador almacena los datos recibidos en un directorio seguro destinado a tal fin, y responde a la aplicación

del dispositivo móvil indicando si el usuario ha sido o no registrado. La Figura 3.8 muestra el diagrama de flujo

del proceso de registro de nuevo usuario y la participación de cada uno de los stakeholders en él.

Figura 3-8. Proceso de registro de usuario nuevo.

3.5.2 Proceso de baja de usuario

Este es el caso de un usuario que ya no quiera disfrutar del servicio propuesto de Pago móvil, solicita a través

de la aplicación su intención de darse de baja del servicio.

El flujo del proceso es el siguiente. Desde el menú de la aplicación móvil se posibilita que el usuario tenga la

opción de eliminar su cuenta y todos los datos vinculados a la misma. La operativa está representada en la Figura

3-9.

41 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Figura 3-9. Borrado de usuario en el servicio.

3.5.3 Proceso de inicio de sesión

El usuario ya ha sido dado de alta en el sistema y quiere establecer inicio de sesión porque quiere usar el servicio.

Una vez que el usuario ha sido creado, el inicio de sesión consiste en la inserción del Identificador de usuario y

de la password (establecida previamente por el cliente) en la aplicación móvil.

El centro servidor web proveedor del servicio, valida la contraseña enviada con la que tiene guardada en su base

de datos. Si la clave introducida por el cliente es correcta, se permite al usuario acceso a los servicios de la

aplicación. Si por el contrario, es incorrecta, se deniega la petición y no se permite al usuario ingresar en la

aplicación. Se representa el diagrama funcional en la Figura 3-10.

Arquitectura del sistema de pago móvil

42

Figura 3-10. Proceso de inicio de sesión.

3.5.4 Proceso de registro de nueva tarjeta

El usuario quiere registrar una nueva tarjeta con la que podrá realizar pagos a través del móvil. El usuario desde

la aplicación del móvil puede asociar o vincular diversas tarjetas de diferentes bancos a este servicio, con el fin

de que en la operativa de comercio electrónico pueda completar con éxito el pago mediante el uso de las mismas.

Esta opción está disponible en las opciones de menú de la app instalada en el móvil y tras la selección de nueva

tarjeta, el usuario debe aproximar su tarjeta contactless al lector NFC del dispositivo móvil.

De forma automática se envía una solicitud de tarjeta nueva al centro procesador, que tras un primer

procesamiento interno, redirecciona la petición a la entidad emisora de la tarjeta. El banco comprueba la

veracidad de los datos (dicha pertenece a uno de sus clientes y está operativa) y envía un Ok al centro procesador

de pagos y éste envía un SMS con un código de validación de tarjeta al número de teléfono que tiene registrado

en el alta del usuario en el servicio (el usuario está dado de alta en el servidor de base de datos del proveedor del

servicio y en el centro procesador del pago, en los sistemas de Redsýs) que puede coincidir o no con el número

del dispositivo móvil desde el cual el usuario desea utilizar la aplicación. El cliente inserta la contraseña recibida

en la aplicación, y el centro procesador valida el código de seguridad, actualizando el directorio de tarjetas dadas

de alta en el servicio si el proceso ha finalizadocon éxito. Este proceso se muestr en la Figura 3-11.

43 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Figura 3-11. Registro de nueva tarjeta en el servicio.

3.5.5 Proceso de solicitud de baja de tarjeta

El usuario quiere dar de baja una de sus tarjetas dadas de alta en el servicio. Desde una de las opciones de menú

de la aplicación móvil, se puede solicitar la baja de una tarjeta tras una vinculación previa temporal. El centro

procesador ante la recepción de esta solicitud, elimina todo registro de dicha tarjeta de su base de datos (ver

Figura 3-12).

Para los casos de extravío o robo de la misma, se habilitan otros canales de notificación de baja, como es la

propia comunicación por parte del titular a su entidad financiera, que denegará todas las transacciones efectuadas

con dicha tarjeta de forma análoga a la operativa presencial.

Arquitectura del sistema de pago móvil

44

Figura 3-12. Baja de tarjeta en el servicio.

3.5.6 Verificación de disponibilidad de la tarjeta en servicio

Desde una de las opciones del menú de la aplicación móvil se permite al usuario consultar si la tarjeta con la que

quiere realizar operaciones de pago móvil está dada de alta y disponible en el sistema. Para ello, el usuario

aproxima la tarjeta deseada al lector NFC del dispositivo móvil, que envía automáticamente la petición al centro

procesador de pago. Este consulta su base de datos y responde al usuario con la información solicitada (ver

Figura 3-13).

Figura 3-13. Verificación de disponibilidad de la tarjeta en el servicio.

45 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

3.5.7 Operativa de pago: Transacción Aprobada o Denegada

El usuario inicia sesión en el sistema y procede a realizar un pago móvil, de tal forma que inserta el número de

teléfono móvil al que quiere efectuar el pago en el formulario de la app habilitado para tal fin. Se estable conexión

entre el teléfono móvil del usuario y el servidor Web proveedor del servicio de Pago móvil que valida la

autenticación del usuario y envía estos datos para validación en el Centro Procesador de pago. El centro

procesador recibe la petición de pago y lleva a cabo una primera validación (autentica el sitio web del comercio

electrónico y comprueba que el número de teléfono insertado por el usuario corresponde a un cliente del

servicio).

De forma seguida envía un mensaje SMS con un código a la aplicación móvil del cliente. El usuario recibe la

notificación en su dispositivo móvil y lleva a cabo el procedimiento para completar el pago (datos de importe

de pago y datos de la tajeta con la que realizará el pago capturados mediante aproximación de la tarjeta

contactless al dispositivo móvil). El centro procesador obtiene la información de la tarjeta y procesa el pago,

redireccionando a la entidad financiera correspondiente la solicitud de autorización. La entidad aprueba o

deniega la petición en función de las condiciones de la cuenta corriente del cliente, tal y cómo sería el escenario

de comercio presencial o electrónico actual, notificando la resolución al centro procesador, que a su vez

comunica la decisión al comercio y al usuario. El diagrama completo teórico y funcional se muestra en la Figura

3-14.

Figura 3-14. Operativa de pago: Transacción Aprobada o Denegada.

Arquitectura del sistema de pago móvil

46

3.5.8 Operativa de pago: Transacción Cancelada por Usuario

El usuario puede cancelar una operación de pago en el transcurso de la operativa una vez que ha recibido la

notificación de que puede llevar a cabo el pago en su dispositivo móvil y antes de proceder a insertar los datos

para realizar éste. En este caso la tarjeta física y la entidad emisora no intervienen en la comunicación como

puede observarse en el flujo del proceso (Figura 3-15).

Figura 3-15. Transacción Cancelada por el usuario.

3.5.9 Operativa de pago: Timeout de usuario vencido

Si tras la recepción de la notificación por SMS para la realización del pago, el usuario no desencadena ninguna

acción (no cancela ni continua el pago), transcurrido un tiempo vence el timeoout que el servidor asigna al

usuario para completar el proceso.

Si esto ocurre, el centro procesador cancela la transacción en curso y notifica de esta circunstancia. En esta

operativa no interviene la tarjeta física ni la entidad financiera (ver Figura 3-16).

47 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Figura 3-16. Operativa de pago: Timeout de usuario vencido.

3.5.10 Operativa de pago: Número de teléfono no dado de alta en el servicio

El centro procesador recibe la petición del servidor Web del servicio que tras haber validado al usuario, valida

el número de teléfono recibido. Si dicho número corresponde a un cliente del servicio, continua con el pago. Si

por el contrario, no encuentra coincidencias en su base de datos de la aplicación, aborta directamente la

transacción (ver Figura 3-17).

Figura 3-17. Número de teléfono no dado de alta en el servicio.

Arquitectura del sistema de pago móvil

48

3.6 Modelo de datos

Como ya se había indicado anteriormente, en los servidores del sistema proveedor del servicio de Pago Móvil

se requiere de un medio que permita realizar el almacenamiento de los datos de los usuarios del servicio y de

todos los movimientos que estos realicen.

Para esto se diseñó una base de datos de la cual se muestra a continuación las tablas del servidor de datos del

sistema proveedor del servicio. La base datos de las entidades bancarias y del centro procesador de pago no se

especifican en este trabajo.

Las entidades existentes en el modelo de datos y sus correspondientes campos:

La nomenclatura para determinar el nombre de las Entidades es el siguiente:

Letra inicial T: Primera letra que identifica que es una tabla o entidad

XXXX: Nombre de la aplicación, en nuestro caso PAGM (de PAGo Móvil)

AAA: Tres letras de libre asignación que suelen estar relacionadas con el contenido de la tabla.

Destacar que en la definición de las Tablas es imprescindible el uso de campos de auditoria para obtener el OK

del departamento de Optimización DB2. Estos campos se utilizan principalmente para tener una trazabilidad de

las acciones que se realizan sobre los registros de la tabla.

Por otro lado indicar que tenemos cuatro tipos de formato para los campos de las tablas:

CHAR: Campo de tipo alfanumérico.

INTEGER: Campo de tipo numérico.

DATE: Campo de tipo fecha.

TIMESTAMP: Campo de tipo timestamp, almacena fecha, hora, minuto, segundo y milisegundo. Un

ejemplo de este formato es el siguiente: 2018-01- 01-01.00.00.000000.

Las Entidades en el sistema serán:

TPAGMUSU: Entidad de usuarios del servicio de pago móvil.

La tabla de usuarios contendrá toda la información personal relacionada con éste, lo cual quiere decir que se

incluirá en ella su identificador (usu_id), su nombre, su teléfono, su correo, su nombre de usuario para acceder

al servicio y su contraseña, que estará guardada en forma de hash, para evitar que un atacante pueda acceder a

las contraseñas si consigue acceder a esta tabla en la base de datos.

Los campos de esta tabla son:

Campos tabla TPAGMUSU Descripción

usu_id campo de tipo INT ,9(12) , para identificar al usuario dentro del sistema

usu_password

Campo de tipo CHAR, X(08), password, encriptada metódo HASH

49 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

usu_estado

campo de tipo CHAR , X(01), para almacenar el estado del usuario el

servicio

‘0’ Activo

‘1’ Bloqueado

‘ 3’ Dado de baja

usu_nombre campo de tipo CHAR , X(30), para almacenar el nombre de usuario del

servicio

usu_apellido1 campo de tipo CHAR , X(30), para almacenar el primer apellido de

usuario del servicio

usu_apellido2 campo de tipo CHAR , X(30), para almacenar segundo apellido de

usuario del servicio

usu_direccion campo de tipo CHAR , X(60), para almacenar el nombre de usuario del

servicio

usu_tipo

Campo de tipo CHAR, X(01), para almacenar tipo de cliente

‘0’ usuario cliente

‘1’ usuario comerciante

usu_intentos

Campo de tipo INT, 9(1) para número de intentos al sistema. Si se

producen tres intentos fallidos, se bloqueará el usuario (usu_estado) y no

podrá realizar pagos hasta que no cambie su estado

usu_telefono

Campo de tipo INT, 9(1) para almacenar el número de teléfono del usuario

del sistema

usu_email

campo de tipo CHAR , X(60), para almacenar email usuario del sistema

usu_fecalta

campo de tipo CHAR , X(10), para almacenar la fecha de alta en el sistema

usu_fecbaja campo de tipo CHAR , X(10), para almacenar la fecha de baja en el

sistema

usu_fecultmod campo de tipo CHAR , X(10), para almacenar la fecha de última

modificación en el sistema

usu_usuarumo campo de tipo CHAR , X(08), para almacenar usuario de ultima

modificación en el sistema

usu_timestamp Timestamp

Arquitectura del sistema de pago móvil

50

TPAGMTRA: Entidad de pago móvil Registro transacciones

La tabla TPAGMTRA contendrá toda la información de registro de transacciones, sin albergar información

sensible de los datos bancarios de los usuarios. Estos estarán registrados en el centro porcesador y en las

entidades correspondientes de la tarjeta del pago

Campos tabla TPAGMTRA Descripción

usu_id_tra campo de tipo INT ,9(12) , usuario dentro del sistema

usu_estado_tra

campo de tipo CHAR , X(01), para almacenar el estado de la transacción

‘0’ Activo

‘1’ Bloqueado

‘ 3’ Dado de baja

usu_id_ope campo de tipo INT, 9(12), para numeración de las operaciones por cliente

en el sistema

usu_telefono_tra campo de tipo INT 9(09), para albergar número de teléfono de la persona

beneficiaria de la operación

usu_tipo_tra

Campo de tipo CHAR, X(01), para almacenar operación

‘1’ Solicitud

‘2’ Anulación

usu_fecalta_tra

campo de tipo CHAR , X(10), para almacenar la fecha de alta en el

sistema de la transacción

usu_resultado

Campo de tipo INT, 9(1) para almacenar resultado de la operación

0 Ok

1 Erronea

usu_autori_tra

campo de tipo CHAR , X(06), para almacenar el número de autorización

de la operación que envía el Sistema Autorizador cuando valida la

operación

usu_fecultmod_tra campo de tipo CHAR , X(10), para almacenar la fecha de última

modificación en el sistema

usu_usuarumo_tra campo de tipo CHAR , X(08), para almacenar usuario de última

modificación en el sistema

usu_timestamp_tra Timestamp

51 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

53

4 SISTEMA DE PROCESAMIENTO DE

TRANSACCIONES DE PAGO

n este capítulo se presentan los componentes del módulo de sistema de Procesamiento de transacciones

de pago y cómo se llevan a cabo dichas transacciones.

4.1 Arquitectura técnica del sistema de Procesamiento de Transacciones de Pago

En el esquema de la Figura 4-1, se presentan los componentes del sistema.

La arquitectura del sistema de Procesamiento de las transacciones de Pago consta de una doble

plataforma con una arquitectura abierta y flexible:

La plataforma de procesos online, gestionada por Redsys, encargada de realizar el procesamiento de las

operaciones de pago en tiempo real (online), a través de llamadas a servicios web que derivan en la ejecución

de transacciones internas.

La plataforma CICLOM, que se encarga de la compensación y la liquidación de estas operaciones así

cómo de proporcionar a las entidades la información de las transacciones procesadas. Esta plataforma está

gestionada por Iberpay

Las entidades bancarias deben estar conectadas a la plataforma de proceso online gestionada por Redsys a través

de una red privada MPLS aunque aquellas entidades que ya dispongan de una conexión con Redsys, establecida

para otros servicios, podrán hacer uso de ella configurando un ancho de banda dedicado para el procesamiento

de los pagos móviles inmediatos y se comunican a través de servicios Web

E

Sistema de procesamiento de transacciones de pago

54

Figura 4-1 Arquitectura técnica del sistema de procesamiento de transacciones SCT int (pagos inmediatos)

Los accesos a la plataforma de procesos online de Redsys, para el procesamiento de las operaciones y envio del

cargo a la Entidad del ordenante y abono a la Entidad del beneficiario, puede realizarse bajo dos esquemas con

Presentación delegada en Redsys y Recepción en la Entidad beneficiaria directa o delegada en Redsys.

A continuación se describen ambos esquemas.

Presentación delegada en Redsys. Recepción directa de Servicio Básico

El siguiente esquema representa una operación de pago presentada por la entidad ordenante a través de Redsys

y recibida directamente por la entidad beneficiaria desde la plataforma de procesos online a través del Servicio

Básico que procesa la petición

Redsys, en nombre de la entidad ordenante, presenta la operación de pago al siatema que la procesará de manera

online (servicio básico), previo a realizar una petición de autorización a la entidad para realizar el cargo en la

cuenta del cliente, utilizando protocolo ISO 8583 (PRICE). La entidad beneficiaria recibe el abono directamente

del Servicio Básico, utilizando la mensajería WS definida para la recepción de estas operaciones. Las

operaciones realizadas a través de Redsys se comunicarán a la entidad ordenante, para su conciliación, en el lote

PRICE correspondiente

55 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Figura 4-1. Esquema de procesamiento de pago: Presentación delegada - Recepción directa

Presentación / Recepción delegada en Redsys

El siguiente esquema representa una operación de pago presentada por la entidad ordenante a través de Redsys

y recibida por la entidad beneficiaria a través de Redsys

Redsys, en nombre de la entidad ordenante, presenta la operación de pago al sistema que la procesará de manera

online (servicio básico), previo a realizar una petición de autorización a la entidad para realizar el cargo en la

cuenta del cliente, utilizando protocolo ISO 8583 (PRICE). Redsys recibe la petición de abono de éste, que

traslada a la entidad beneficiaria con una petición de autorización para realizar el abono en la cuenta del cliente,

utilizando también protocolo ISO 8583 (PRICE).

Las operaciones realizadas a través de Redsys se comunicarán a las entidades, ordenante y beneficiaria, para su

conciliación, en el lote PRICE correspondiente.

Sistema de procesamiento de transacciones de pago

56

Figura 4-2. Esquema de procesamiento de pago: Presentación delegada - Recepción delegada

Las operaciones de pagos se notificarán a las Entidades utilizando el protocolo ISO 8583 (PRICE) mediante los

correspondientes mensajes on-line (1100/1420).

o Petición de Cargo al emisor

57 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

P00 = 1100 / 1110

P03 = 10xxxx

P24 Valores:

140 - ENVIO para operaciones de envío de dinero

141 - SOLICITUD para operaciones de solicitud de dinero

142 - DEV.ENVIO para operaciones de devolución de envío

P32 = 4000

P42 = FUC 263123457.

P43 = Nombre del beneficiario

P48.44 se ha definido la nueva estructura. Ver Anexo I

P.102 = IBAN de la cuenta del ordenante

P.103 = IBAN de la cuenta del beneficiario

o Petición de Abono al adquirente

P00 = 1100 / 1110

P03 = 29xxxx

P24 Valores:

140 - ENVIO para operaciones de envío de dinero

141 - SOLICITUD para operaciones de solicitud de dinero

142 - DEV.ENVIO para operaciones de devolución de envío

P32 = 4000

P42 = FUC 263123457.

P43 = Nombre del beneficiario

P48.44 se ha definido la nueva estructura. Ver Anexo I

Sistema de procesamiento de transacciones de pago

58

P.102 = IBAN de la cuenta del ordenante

P.103 = IBAN de la cuenta del beneficiario

o Anulación de Petición de Cargo al emisor

P00 = 1420 / 1430

P03 = 10xxxx

P24 Valores:

440 - para operaciones de envío de dinero

441 - para operaciones de solicitud de dinero

442 - para operaciones de devolución de envío

P32 = 4000

P42 = FUC 263123457.

P43 = Nombre del beneficiario

P.102 = IBAN de la cuenta del ordenante

P.103 = IBAN de la cuenta del beneficiario

o Petición de Anulación de Abono al adquirente

59 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

P00 = 1420 / 1430

P03 = 29xxxx

P24 Valores:

440 - para operaciones de envío de dinero

441 - para operaciones de solicitud de dinero

442 - para operaciones de devolución de envío

P32 = 4000

P42 = FUC 263123457.

P43 = Nombre del beneficiario

P.102 = IBAN de la cuenta del ordenante

P.103 = IBAN de la cuenta del beneficiario

4.2 Consumo y provisión de servicios web

El intercambio de información entre las Entidades bancarias y el sistema de procesamiento de las transacciones

se realiza como anteriormente se ha expuesto, a través de servicios web.

Las Entidades deben realizar las tareas descritas a continuación:

Como consumidores de los servicios

Las entidades deben tener la capacidad de invocar los servicios web de una manera síncrona (mediante

HTTP), por lo que cada entidad tendrá que gestionar dicho sincronismo incluyendo un tratamiento adecuado

de los timeouts técnicos que se desarrollan en el apartado 5 de este documento.

Una vez la entidad haya recibido la respuesta a la llamada, debe realizar el tratamiento de la misma, tanto si

es positiva como negativa, continuando con el proceso según la definición, para garantizar la correcta

ejecución de las operaciones y el funcionamiento del sistema

Como proveedores de servicios web

Las entidades deben desplegar los servicios web que se requieren para ser consumidos por parte de la

plataforma de proceso online, así como desarrollar la lógica de negocio necesaria para cada uno de ellos.

Sistema de procesamiento de transacciones de pago

60

Estos servicios web deben alojarse en un servidor de aplicaciones dentro de las infraestructuras de las

entidades (de su core bancario)

Los servicios web necesarios para el funcionamiento del sistema, tanto los desplegados en la plataforma de

proceso online como los desplegados en cada una de las entidades, se indican en el apartado 4.3.2 de este

documento.

4.3 Intercambio de mensajes

El intercambio de mensajes entre las entidades bancarias y el Centro Procesador de pago se realiza mediante los

servicios web desplegados para tal efecto tanto en la plataforma de proceso online como en las entidades del

ordenante y del beneficiario.

Estos servicios cubren los requerimientos de los flujos de mensajes de envío, solicitud de retrocesión, respuesta

positiva a la solicitud de retrocesión, respuesta negativa a la solicitud de retrocesión, procedimiento de

investigación

4.3.1 Mensajes de operaciones en el subsistema

Los mensajes utilizados para el procesamiento de las operaciones de pago, basados en el estándar ISO 20022

XML.

Tabla 4-1 Mensajes ISO 20022 para procesamiento de operaciones de pago

4.3.2 Descripción general de los servicios web

Los servicios web son desarrollados siguiendo el protocolo SOAP, utilizando peticiones HTTP sobre TCP/IP

para la transmisión de mensajes. De esta manera, los mensajes entre la entidad y la plataforma de proceso online

se envían en formato SOAP. En el caso de los servicios web relativos a las operaciones intercambiadas en el

subsistema, el mensaje SOAP debe contener, a su vez, un mensaje XML en formato ISO 20022.

Es necesario tener en cuenta que al tratarse de llamadas a través de HTTP, y de cara a minimizar el consumo de

recursos que el llamante de cualquier servicio web debe tener establecido un timeout técnico y un tratamiento

automático para el mismo.

Tal y como se ha mencionado anteriormente, el intercambio de mensajes entre la plataforma de proceso online

y las entidades requiere una serie de servicios web, parte de ellos se despliegan en dicha plataforma de proceso

61 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

online y parte en las infraestructuras de las entidades.

A continuación se muestra donde se sitúan los servicios web dentro de la plataforma de proceso online de

Redsys, así como el detalle de servicios en en las entidades bancaria. Figura 4-3. Esquema de conexión cliente-

servidor de los servicios web

Figura 4-3. Esquema de conexión cliente-servidor de los servicios web.

Estos servicios web tienen un extremo servidor en la plataforma de proceso online y requieren un componente

cliente en las entidades para su invocación, tal y como muestra el ejemplo de invocación incluido a continuación

(Figura 4-4. Ejemplo de invocación de servicios web desplegados en la plataforma de proceso online).

Sistema de procesamiento de transacciones de pago

62

Figura 4-4. Ejemplo de invocación de servicios web desplegados en la plataforma de proceso online.

Los servicios web desplegados en la plataforma de proceso online son:

Tabla 4-2 Servicios web en plataforma procesos online

Y los desplegados en las Entidades bancarias:

63 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Tabla 4-3 Servicios web en entidades bancarias

4.3.3 Envío Pago Instantáneo

Esta función permite a la entidad del ordenante hacer llegar un mensaje de SCT Inst. Para ello, la entidad

ha de realizar una llamada al servicio web correspondiente haciéndole llegar un mensaje pacs.008.001.02

(XML ISO 20022).

Las características principales de este servicio web son las descritas a continuación:

Sistema de procesamiento de transacciones de pago

64

Servicio:

WS_ENVIO_Transferencia

Parámetros de entrada:

Cadena de texto con formato pacs.008.001.02 que contiene los datos de la SCT Inst.

Respuesta:

Cadena de texto con formato pacs.002.001.03, que contiene la validación realizada por la plataforma de

proceso online. El detalle del contenido de la respuesta, incluye el código de estado

Ejemplo de invocación: HTTP POST › <URL_BASE>/WS_ENVIO_Transferencia

{strXML: <pacs.008.001.02>}

(en el body del Request se ha de incluir el pacs.008.001.02)

Ejemplo de respuesta: 200 OK SOAP:<STATUS>IBP200</STATUS>

(en el body del Response vendrá contenido el pacs.002.001.03 y el campo STATUS)

Guía de implementación para las entidades:

El proceso comienza al recibir la entidad del ordenante una orden de su cliente para emitir un

transferencia o pago. La entidad lleva a cabo las validaciones pertinentes.

Para el envío de una SCT Inst, se formatea el pacs.008.001.02 con los datos de la transferencia y se

realiza una llamada al servicio web WS_ENVIO_Transferencia a través del componente cliente de la

interfaz online de la entidad.

La entidad debe establecer un contador (‘timer’) para realizar un tratamiento automático en caso de no

recibir a tiempo la respuesta por parte de la plataforma de proceso online.

Si al recibir la respuesta por parte de la plataforma de proceso online se obtiene un código de retorno

HTTP OK 200, se revisa el STATUS y si es IB200, se pasa a leer el mensaje pacs.002.001.03.

4.3.4 Recepción Pago Instantáneo

Esta función permite a la plataforma de proceso online hacer llegar un mensaje de pago o transferencia

SCT Inst a la entidad del beneficiario. Para ello, la plataforma de proceso online ha de realizar una

llamada al servicio reenviándole el mensaje pacs.008.001.02 que se recibió de la entidad del ordenante.

Las características principales de este servicio web son las descritas a continuación:

Servicio: WS_RECEP_Transferencia

Parámetros de entrada:

Cadena de texto con formato pacs.008.001.02 que contiene los datos de la SCT Inst.

65 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Respuesta:

Cadena de texto con formato pacs.002.001.03 que contiene el resultado del proceso realizado por la

entidad.

Ejemplo de invocación: HTTP POST › <URL_BASE>/WS_RECEP_Transferencia {strXML: <pacs.008.001.02>}

(en el body del Request vendrá contenido el pacs.008.001.02)

Ejemplo de respuesta: 200 OK SOAP:<STATUS>IBP200</STATUS>

(en el body del Response se ha de incluir contenido el pacs.002.001.03 y el STATUS)

Guía de implementación para las entidades:

La entidad del beneficiario recibe una llamada por parte de la plataforma de proceso online al servicio

web WS_RECEP_Transferencia, que está desplegado en su infraestructura, haciéndole llegar un mensaje

pacs.008.001.02 enviado originalmente por la entidad del ordenante.

La entidad debe realizar las validaciones y chequeos necesarios para poder abonar la transferencia al

beneficiario

Finalmente, y en respuesta a la petición, la entidad debe formatear un mensaje pacs.002.001.03 indicando el

resultado del proceso.

4.3.5 Tratamiento de errores

Para tratar los errores en el intercambio de mensajes se establece una serie de códigos que permiten conocer el

motivo del error en la comunicación. Estos códigos estarán informados en el parámetro de salida denominado

“STATUS” que estará presente en los métodos de todos los servicios web.

Los códigos de respuesta del campo ‘STATUS’ son los siguientes:

Tabla 4-4 Tratamiento de errores

Sistema de procesamiento de transacciones de pago

66

Para los errores provocados por motivos que están fuera del ámbito del aplicativo SOAP, se utilizarán los que

están definidos por defecto en el estándar del protocolo HTTP

Los códigos de error lógicos de la aplicación se incluyen en el contenido de la respuesta de la petición

4.3.6 Seguridad

La seguridad en el acceso y en la información intercambiada está garantizada por la propia red privada MPLS.

Las características que incorpora esta red, junto con el establecimiento de un túnel IP VPN, permite cubrir las

necesidades de seguridad requeridas como son la autenticación, la integridad, la confidencialidad y el no repudio

de la información

11

5 CONCLUSIONES Y DESARROLLOS FUTUROS

n este capítulo se exponen las conclusiones a las que se han llegado con la consecución del PFC y si se

han cumplido de forma total o parcial los objetivos que se plantearon al inicio del proyecto, exponiéndose

además los posibles desarrollos futuros abiertos con el desarrollo del proyecto

5.1 Conclusiones

En este proyecto se ha podido constatar que los servicios de pago por móvil tienen un alto impacto en la

vida cotidiana de los usuarios. El crecimiento actual de este negocio puede experimentar un crecimiento

mayor con el tiempo si éste se orienta hacia un modelo abierto sostenible y colaborativo entre todos los

actores que intervienen en el ecosistema de los pagos móviles, centrado en las necesidades de los clientes

que básicamente consisten en garantizar la seguridad, simplicidad de uso, flexibilidad y universalidad y

calidad del servicio, así como mejorar su la experiencias de los usuarios con propuestas aplicables a todos

los escenarios donde es posible el pago móvil.

Se puede decir que se han cumplido los objetivos que se plantearon en el proyecto en su totalidad, al

proponer un modelo de pago mediante tarjeta a través del teléfono móvil de fácil uso y disponible y

aplicable en cualquier entorno, en el que se ofrece una mayor seguridad porque los datos bancarios de las

tarjetas con las que se realizan las operaciones, no se encuentran almacenadas ni en el dispositivo móvil

(en el elemento seguro) como ocurre en muchas soluciones existentes en el mercado, ni en la base de

datos de los servidores del proveedor del servicio.

El usuario que quiere efectuar un pago, solo tendrá que abrir la aplicación que instaló en su dispositivo

móvil y después de la autenticación en el sistema y de haber enviado el número de teléfono de la persona

a la que quiere realizarle un pago (podría ser un comercio), acercará una tarjeta a su móvil cuyos datos

serán capturados a través de la capacidades NFC de este, PAN, caducidad de la tarjeta, salvo el CVV,

dato que no es posible capturar y que cada usuario tendrá que introducir por pantalla para llevar a cabo el

pago y éste se realizará. De forma rápida y sencilla.

5.2 Desarrollos futuros

Entre los desarrollos futuros a este sistema de pagos propuesto, podría hacerse que la información de los

datos bancarios viajen pero aplicando métodos de tokenización para no enviar información del PAN y

asegurar aún más la seguridad tan requerida en este tipo de servicios.

La tokenización es una de las técnica técnica permite sustituir un dato sensible, en este caso, el número de

la tarjeta (PAN), por otro denominado token que no comprometa la seguridad del pago en el proceso

transaccional

E

Conclusiones y desarrollos futuros

12

12

13 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

BIBLIOGRAFÍA

[1] Redsys, PPII Acceso a Servicio Básico - Especificaciones Redsys v 1.0.1

[2] Iberpay, Sistema Nacional de Compensación Electrónica v1.0.1

[3] A New Model: The Consumer-Centric Model and How It Applies to the Mobile Ecosystem.

GlobalPlatform Whitepaper, March 2012 - http://goo.gl/LzcaVW

[4] Medios de pago e identificación personal en la era digital.

Disponible:https://www.nae.es/wpcontent/uploads/Medios-de-pago-e-identificacion-personal-en-la-era-

digital-2015.pdf

[5] The Mobile Payments and NFC Landscape: A U.S. Perspective. Smart Card Alliance, September 2011 -

http://goo.gl/nqxWta

[6] Los medios de pago, un paisaje en movimiento, 2016. http://www.pwc.es/es/financiero/publicaciones-

financiero.html

Glosario

14

14

GLOSARIO

ISO: International Organization for Standardization

SIM: Subscriber Identity Module

PIN: Número de identificación personal.

GSM: Global System for Mobile communications

NIP: Número de identificación personal

PIN: Personal Identification Number

TPV: Terminal punto de venta.

SMS: Servicio de mensaje cortos

USSD: Servicio de datos suplementario no estructurado.

PAN: Personal Account Number

BIN: Bank Identification Number

SOAP: Simple Object Access Protocol

SQL: Structured Query Language

URL: Uniform Resource Locator

RFID: Radio Frequency Identification

MST: Magnetic Secure Transmission

NFC: Near Field Communication.

P2P: Peer To Peer.

PAN: Personal Account Number.

PCI-DSS: Payment Card Industry Data Security Standard

APP: Aplicación.

CECA: Confederación Española de Cajas de Ahorro.

REDSYS:

BBVA:

CNMC: Comisión Nacional de los Mercados y Competencia

CVC: Card Verification Code.

EMV: Europay MasterCard VISA.

HCE: Host Card Emulation.

HTTP: Hypertext Tranfer Protocol.

HTTPS: Hypertext Tranfer Protocol Secure.

PRICE: Protocolo Integrado de Conexión de Establecimientos.

m-Commerce: Mobile Commerce

15 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

TSM: Trusted Service Managers

SMSC Short Message Service Center

SMS Short Message Service

USSD: Unstructured Supplementary Service Data

EPC: European Payment Council

SEPA: Single Euro Payments Area

SQL: Structured Query Language

RSA: Rivest, Shamir y Adleman

MTI: Message Type Indicator

XML: Extensible Markup Language

JSON: JavaScript Object Notation

REST: Representational State Transfer

Anexos

16

16

ANEXOS

ADAPTACIÓN PROTOCOLO PRICE ONLINE

17 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Mensaje 1100

Anexos

18

18

19 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Anexos

20

20

Mensaje 1110

21 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Anexos

22

22

Mensaje 1420

23 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Anexos

24

24

Mensaje 1430

25 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil

Anexos

26

26