La Plataforma para Pago Móvil HCE de Tecnocom será una de las estrellas del Seguridad Digital Congress 2016, que se celebra en Madrid. La Plataforma ofrece una solución universal para la realización de pagos de tarjeta bancaria a través de un Smartphone y permite a los emisores lanzar iniciativas de Pago Móvil de forma autónoma, cumpliendo con las especificaciones emitidas por las redes y minimizando el impacto sobre el resto de sistemas de Medios de Pago.
El congreso “Seguridad Digital 2016”, que cuenta con el patrocinio de Tecnocom, es el principal evento nacional para las empresas y entidades públicas o privadas que quieren garantizar a sus clientes y usuarios la seguridad en sus conexiones y transacciones. La participación de Tecnocom incluye la ponencia “La Revolución de HCE en el pago móvil”, en la que Felipe López, Director de Innovación de Tecnocom, abordará los objetivos de una solución de pago por móvil HCE –Host Card Emulation–, la tokenización y sus ventajas frente a los modelos basados en SIM desde el punto de vista de la seguridad, el modelo de negocio y roles de los participantes en el ecosistema de pagos y arquitecturas. Asimismo abordará el papel clave de la seguridad para generar confianza y otros mecanismos que incrementen la utilización del móvil para realizar pagos.
Según Felipe López, en 2020 el 50% de los consumidores serán “solo móviles” y el móvil será “el principal canal de venta”, sin embargo, “sólo una mejor experiencia del consumidor con un ecosistema de servicios adicionales como fidelización, control de acceso, transporte, etc. hará que los pagos móviles despeguen”. El director de Innovación de Tecnocom indicó que los bancos tratan de ser móviles y la clave está en la confianza que tengan los usuarios en el sistema de pago y en los servicios adicionales que dispongan a través de dicho dispositivo.
En este contexto, la Plataforma HCE de Tecnocom ofrece todos los elementos requeridos para que el emisor pueda desplegar iniciativas de pago móvil HCE, de acuerdo a las últimas especificaciones emitidas por Visa y MasterCard. En paralelo, el Servicio de tokenización está ya incluido en la solución, por lo que la entidad no está obligada a contratar otro servicio de tokenización externo, si bien puede igualmente mantener interfaces con los servicios de tokenización de terceros (ej. Visa & Mastercard TSP services). La solución minimiza el impacto con el resto de sistemas del emisor, facilitando la integración por medio de servicios web, y proporcionando API & SDK de HCE para integrar la funcionalidad dentro del Wallet propio de la entidad.
Felipe López recuerda que transformar el móvil en un monedero electrónico, Wallet, que emule la cartera de cuero, es una vieja aspiración que se está convirtiendo es una realidad, según Tecnocom, gracias a la generalización de los smartphones y el cambio cultural experimentado por los consumidores.
Desde hace años, la industria ha mostrado un enorme interés en los ‘wallets’ y los pagos a través de móviles gracias al uso ya generalizado de los smartphones, sin embargo, sólo se había materializado en la realización de pilotos de ámbito reducido, derivado de las importantes limitaciones logísticas y de lo complicado del ecosistema comercial basado en las SIMs. Esta situación, según Tecnocom, ha variado radicalmente desde el pasado año y ha empezado a despegar con la entrada de los grandes players. “Visa, MasterCard y American Express ya han definido las bases técnicas para ofrecer pagos móviles de forma segura dentro de las redes actuales de pagos, como el HCE (Host Card Emulation)”.
Solución Universal
La Plataforma HCE de Tecnocom permite a los emisores lanzar iniciativas de Pago Móvil de forma autónoma, cumpliendo con las especificaciones emitidas por las redes y minimizando el impacto sobre el resto de sistemas de Medios de Pago.
Características principales:
· Incluye todos los elementos requeridos para que el emisor pueda desplegar iniciativas de pago móvil HCE, de acuerdo a las últimas especificaciones emitidas por Visa y MasterCard.
· Servicio de tokenización (TSP), ya incluido en la solución (la entidad no está obligada a contratar uno). Puede, igualmente, mantener interfaces con los servicios de tokenización de terceros (ej. Visa & Mastercard TSP services).
· Minimiza el impacto con el resto de sistemas del emisor, facilitando la integración por medio de servicios web.
· Proporciona API & SDK de HCE para integrar la funcionalidad dentro del Wallet propio de la entidad.
· Si se precisa, Tecnocom proporciona una solución Mobile Wallet ya integrada con la funcionalidad HCE (comercializada de forma separada).
· Cuenta con una herramienta de gestión y administración, para ser empleada por recursos de Back Office, dirigida a mantener clientes, gestionar incidencias de acceso, funciones de auditoría de seguridad y acceso.
Módulos de la Plataforma HCE
La plataforma incluye todos los elementos requeridos por las redes Visa y MasterCard:
· Integrador. Comunica la plataforma con los sistemas de la entidad, de manera eficiente por medio de servicios web. Aporta una herramienta de gestión para Back Office.
· HCE Server. Gestiona de forma segura los datos HCE, realiza la tokenización / detokenización, participando en los procesos de autorización, intercambio y reclamaciones.
· Mobile Server. Componente intermediario entre HCE Server y la API HCE del móvil. Gestiona el registro de los participantes y se comunica con el móvil mediante mensajes push y webservices seguros.
· API HCE / NFC. Habilita al Wallet de la entidad con la funcionalidad de pago móvil, realizando la gestión del stock de tokens HCE y la comunicación de los comandos de pago por medio de la antena NFC.
Cómo funciona
La solicitud de enrolamiento la realiza el cliente sobre el aplicativo Wallet.
- Solicitud iniciada. El cliente solicita la activación de una de sus tarjetas para el pago móvil HCE a través del aplicativo Wallet de la entidad. La API HCE / NFC enlaza con el módulo Mobile Server para iniciar el enrolamiento.
Opcionalmente este paso puede requerir la utilización de un factor adicional de autenticación de usuario (e.g. OTP).
- Validación de solicitud. El sistema Integrador valida si la solicitud es autorizada para el cliente concreto y su tarjeta en base a las reglas parametrizadas por el emisor.
- Registro dentro del programa HCE. Usuario y tarjeta son registrados dentro del programa HCE. Se provisionan los tokens.
- Provisionamiento de tokens al móvil. Se establece un canal seguro con la API HCE / NFC y se habilita el uso de notificaciones push. Se provisionan los tokens de pago a la API HCE / NFC.
- Almacenamiento de tokens. La API HCE / NFC almacena un conjunto de tokens a ser empleados en el pago móvil.
- Tarjeta activada para el pago móvil. El aplicativo Wallet es informado que la tarjeta ha sido enrolada para el pago móvil.
Pago con móvil
La aplicación no requiere disponer de conexión de datos para iniciar el pago desde el móvil.
1. Inicio del pago al acercar el móvil al POS contactless. El aplicativo Wallet se vincula al uso de la antena NFC para pagos móviles, sin necesidad de abrir la aplicación. La API HCE / NFC hace uso del siguiente token válido almacenado de la tarjeta por defecto. La API NFC / HCE genera una transacción de pago válida de tipo "EMV Contactless" a través de la antena NFC.
2. Tramitación de la transacción "EMV Contactless". El adquirente tramita la transacción normalmente, ya que el token suple a los datos reales de la tarjeta. Al ser una transacción de tipo "EMV Contactless", requiere una autorización online del emisor.
3. Identificación BIN HCE. El autorizador del emisor reconoce la transacción de tipo HCE (BIN del token usado exclusivamente en operativa HCE). Contacta con el Servidor HCE para realizar las validaciones y recuperar el PAN real.
4. Validación y detokenización. El módulo HCE Server realiza las validaciones criptográficas (ARPC), comprueba que el token es válido y detokeniza devolviendo el PAN real.
5. Autorización sobre PAN real. El emisor autoriza sobre el PAN real.
6. Tramitación de la autorización con las redes. El sistema Autorizador tramita la autorización con las redes de la forma habitual, empleando los datos del token.
Notificación al cliente (push, SMS,etc...). Opcionalmente, el emisor puede notificar al cliente la transacción realizada, empleando por ejemplo la mensajería push o SMS.