¿Quién, hoy en día, no dispone de una tarjeta de pago bien sea de crédito o bien sea de débito? Esta afirmación es incluso mayor después de la situación excepcional de pandemia vivida recientemente; que supuso que el contacto directo implicase un acto de riesgo de infección. Es en este preciso momento en el que las tarjetas de pago tienen mayor aceptación a nivel mundial dado que permiten completar el intercambio de bienes y servicios mediante un canal de pago sin contacto, o contactless, como habitualmente se conoce, por el cual no se requiere la interacción física con los dispositivos que procesan la transacción, puenteando la posibilidad de que la infección se propagase durante la mera acción de pagar.
Es indiscutible que este hecho trajo consigo una mayor aceptación sobre este medio de pago, que sumado a la disminución de las tasas que los comercios tenían que pagar por cada transacción realizada a través de este, ampliaron considerablemente su uso. La tendencia continúa hoy en día, mediante la existencia de tarifas planas ofrecidas por las entidades financieras para emplear este medio de pago, matiz que ha facilitado que los comercios abracen su uso, siendo una opción mayoritaria y disponible en casi cualquier tipo de sector y comercio
Haciendo un poco de historia, según Lewis Mandell, autor de "Credit Card Industry: A History", la idea del crédito se remonta a la vida agraria. Los agricultores necesitaban encontrar una forma de cubrir el coste de las semillas y los suministros en el momento de la siembra y devolver la deuda más tarde, después de la cosecha. Varios enfoques se sucedieron hasta que, en el 1946, un banquero llamado John C. Biggins, del Flatbush National Bank de Brooklyn (Nueva York), presentó la Charg-It, que podría ser la primera tarjeta de crédito emitida por un banco, aunque aún no era algo demasiado práctico. Sería en 1950, cuando la tarjeta Diners Club sería oficialmente aclamada como la primera tarjeta de crédito universal, siendo en este momento en el que el concepto de dinero virtual se impone. Sin embargo, no es hasta el 1969 cuando la Air Travel Card de American Airlines marca otro hito al convertirse en la primera tarjeta con banda magnética, cambiando para siempre el concepto de las tarjetas de crédito.
Aunque no será hasta el 2010 cuando se integra un chip a las tarjetas de crédito, muchas evoluciones se suceden hasta llegar hasta a esa fecha, así como diversas legislaciones para regular su uso. La evolución es constante hasta el día de hoy en la que existen las tarjetas de pago tal y como las conocemos.
En este artículo analizaremos los componentes que a lo largo de la historia se han integrado en una tarjeta de pago, y veremos cómo, gran parte de ellos, tienen por objetivo el garantizar la seguridad de la transacción.
En el 2006, las principales marcas de tarjetas de pago, Visa, American Express, MasterCard, JCB y Discover fundan lo que se conoce como el consejo de normas de seguridad de PCI (payment card industry).
Este organismo tiene por objetivo propiciar seguridad a la industria de los medios de pago, asumiendo diferentes funciones, como, por ejemplo, la creación de estándares de seguridad que regulan diferentes tópicos dentro de la industria de pago con tarjetas. Uno de estos estándares se relaciona directamente con la creación la tarjeta física y los componentes que la integran, "Card Production and Provisioning", siendo el que regula la fabricación y personalización de, entre otros medios disponibles, las tarjetas de pago. Regula los procesos de fabricación y personalización involucrados, de manera muy exigente, con el objetivo de blindar la integridad y confidencialidad de los datos de los titulares que conformarán el producto finalizado durante los procesos de fabricación y personalización. Todos aquellos bancos emisores que produzcan tarjetas de pago deben de asegurarse que estas reglas para emitir nuevas tarjetas de pago a sus clientes se respetan, lo que impacta directamente a los proveedores que fabrican y personalizan este producto en nombre de los bancos emisores.
Veamos que componentes integran una tarjeta de pago estándar.
Cuerpo de la tarjeta
El "plástico", como comúnmente es conocido el cuerpo de la tarjeta, suele ser un cuerpo rectangular de tamaño estándar, redondeado en las esquinas (aunque últimamente existen variaciones de forma) cuyo material habitual suele ser PVC (Cloruro de Polivinilo), siendo el material base de la mayoría de las tarjetas de pago.
Es un tipo de plástico resistente y duradero utilizado para la capa principal de la tarjeta. En estos casos, el plástico está protegido por una película protectora que se adhiere en los procesos de fabricación cuyo objetivo es el de proteger la información impresa en la tarjeta y aumentar su durabilidad. Este film adicional suele estar compuesto por poliéster o policarbonato. Al igual que en la forma, existen variaciones en cuanto al material, existiendo tarjetas de metal que le confieren un estatus más premium, que suelen ser empleadas para clientes más especiales.
La información visible y personal en la tarjeta puede ser impresa con tinta y tipografía especializada para imprimir el PAN (número de cuenta primario), el nombre del titular, la fecha de vencimiento, CVV, y el logotipo de la compañía emisora en la superficie de la tarjeta.
El estándar habitual referente a la impresión de los datos de titular en las tarjetas hasta hace bien poco era el embosado, proceso utilizado como un método de impresión estándar en las tarjetas de pago para facilitar la lectura de los datos y proporcionar una autenticidad adicional a la tarjeta. Sin embargo, con los avances tecnológicos y la adopción de métodos de lectura electrónica, el embosado ha disminuido en popularidad, aunque todavía puede encontrarse en algunas tarjetas. El embosado es un proceso de impresión en relieve que se realiza en la superficie de la tarjeta. Consiste en crear caracteres en relieve, generalmente en la parte frontal de la tarjeta, como el número de cuenta, el nombre del titular y la fecha de vencimiento. La máquina de embosado utiliza calor y presión para presionar los caracteres en relieve en la tarjeta de plástico, lo que crea una textura y una apariencia que hace que la información sea legible y se sienta táctilmente.
Banda Magnética
Se reconoce por ser una tira oscura y brillante que se encuentra en la parte posterior de la tarjeta. Esta banda está compuesta por partículas ferromagnéticas incrustadas en una resina. La banda magnética almacena información importante de la cuenta, como el número de cuenta, el nombre del titular y la fecha de vencimiento, utilizando una codificación magnética. Estos datos se pueden leer a través de un lector de tarjetas que interpreta las señales magnéticas emitidas por la banda. Las tarjetas de pago con banda magnética solían ser comunes y habituales años atrás, sin embargo, con los avances tecnológicos, lo deseable es que las tarjetas posean tecnología de chip EMV, que ofrece una mayor seguridad.
Los datos en la banda magnética se alojan en forma binaria. Estos datos pueden variar dependiendo de la norma utilizada y de la región, pero generalmente incluyen el número de cuenta, identificador único de la cuenta del titular de la tarjeta, el nombre del titular, propietario de la tarjeta, fecha de vencimiento, fecha en la que expira la tarjeta, código de servicio, que indica el tipo de tarjeta (crédito, débito, etc.), y datos adicionales que pueden incluir información específica del emisor de la tarjeta, como un identificador de la institución financiera. Estos datos se almacenan en diferentes pistas dentro de la banda magnética. La banda magnética consta de tres pistas: pista 1, pista 2 y pista 3. Cada pista tiene una capacidad y estructura de datos específicas, siendo la pista 2 la más comúnmente utilizada y donde generalmente se almacenan los datos principales de la tarjeta, como el número de cuenta y la fecha de vencimiento.
Chip
El chip de una tarjeta, también conocido como microchip o circuito integrado, es un componente electrónico que también está presente en tarjetas de identificación y otros tipos de tarjetas inteligentes. El chip almacena y protege información, y también puede realizar funciones de cifrado y autenticación, en el caso de las tarjetas de pago, se ajusta a las especificaciones EMV, y está conformado por un pequeño circuito integrado dentro de un módulo, que se incrusta en su totalidad en las tarjetas previamente perforadas en procesos de fabricación. Los chip son pequeños computadores complejos, con su propio sistema operativo y aplicaciones, además de ser capaces de proveer cifrado robusto, basado en algoritmos aceptados por la industria. Es un elemento que proporciona un nivel de seguridad mucho mayor que las tarjetas con banda magnética tradicionales, siendo las funciones de las que se encarga las siguientes:
- Almacenamiento de información: El chip contiene un espacio de memoria en la que almacena información relevante, como el número de la tarjeta, la fecha de vencimiento y el CVV. También puede almacenar otros datos, como historial de transacciones o información personal, dependiendo del tipo de tarjeta y su propósito.
- Comunicación con terminales: Cuando se inserta una tarjeta con chip en un terminal de pago, como un punto de venta (POS) o un cajero automático, el terminal y el chip establecen una comunicación segura. El terminal solicita información al chip para autenticar y autorizar la transacción.
- Autenticación y cifrado: El chip realiza funciones de cifrado para garantizar la autenticidad y la confidencialidad de la información. Por ejemplo, al realizar una transacción, el chip puede cifrar los datos, incluso generar una firma digital única para esa transacción en particular, lo que dificultaría la falsificación de la tarjeta y el fraude.
- Procesamiento de transacciones: El terminal de pago recibe la información cifrada del chip, se comunica con el emisor de la tarjeta (por ejemplo, un banco), a través de diferentes redes, en función de los bancos emisores y adquirentes, para confirmar y autorizar la transacción (o denegarla), y luego informa el resultado de la transacción al chip, y por extensión, al titular de la tarjeta, y al comercio que procesa la transacción.
- Verificación del titular de la tarjeta: Además de la autenticación a nivel de chip, en muchos casos también se requiere que el titular de la tarjeta ingrese un PIN para verificar su identidad y autorizar la transacción. Esta función también involucra llamadas a las funciones de cifrado provistas por el chip.
Paneles de firma
Los paneles de firma son áreas designadas en la parte posterior de la tarjeta donde los titulares pueden firmar su nombre. Estos paneles de firma se utilizan como una medida de autenticación y verificación del titular de la tarjeta al realizar transacciones en las que se requiere la firma física.
En ocasiones, cuando se realiza una compra físicamente, se puede solicitar al titular de la tarjeta a firmar en un panel designado por el comercio. La firma se compararía con la firma almacenada en el establecimiento para verificar la autenticidad de la transacción, además de asegurarse de que el titular de la tarjeta sea el individuo que realmente está utilizando la tarjeta.
La realidad es que, gracias a los avances tecnológicos, el uso de firmas físicas en los paneles de firma ha disminuido exponencialmente. Las transacciones que priman son aquellas basadas en la inserción del chip, contactless, o el uso de pagos mediante dispositivos móviles, que no requieren una firma física. Además, algunos establecimientos pueden requerir firmas electrónicas en lugar de una firma física.
No obstante, a pesar de su uso cada vez menor, los paneles de firma todavía están presentes en las tarjetas por razones de compatibilidad y como medida de seguridad adicional.
Estos paneles adheridos a las tarjetas suelen estar fabricados con un material especializado que permite una superficie suave y adecuada para escribir con tinta. Este material se conoce comúnmente como resina de firma, un tipo de recubrimiento transparente aplicado sobre el área del panel de firma. La resina de firma permite que la tinta de la firma se adhiera de manera adecuada y evita que se emborrone o se desvanezca con el tiempo, proporcionando cierta resistencia a los productos químicos y al desgaste diario.
Material Holográfico
Una característica distintiva de las tarjetas de crédito y débito, que es muy habitual en la actualidad, es la incorporación de material holográfico en su superficie.
El material holográfico es una característica de seguridad utilizada para proteger las tarjetas contra la falsificación y proporcionar una medida adicional de autenticidad. Consiste en una lámina o banda holográfica que se aplica a la tarjeta durante los procesos de fabricación. Los elementos holográficos están diseñados para crear patrones o imágenes tridimensionales que cambian cuando se los observa desde diferentes ángulos o se los mueve bajo la luz. Estos detalles holográficos son difíciles de reproducir mediante técnicas de copia o falsificación, lo que ayuda a garantizar que la tarjeta sea genuina. Dependiendo de los emisores, y de su elección en la fase de diseño del plástico, el material holográfico puede combinar diferentes características de seguridad, como micro textos, patrones de líneas o imágenes.
Además de su función de seguridad, el material holográfico también puede tener un propósito estético, mejorando el diseño visual de la tarjeta y proporcionando un aspecto más sofisticado y profesional.
Otros de los elementos que podríamos identificar dentro de una tarjeta tradicional, serían particulares a cada emisor y comprenden y responden a un diseño específico que tiene lugar previo a los procesos de fabricación. Es en este momento cuando se decide el diseño de la tarjeta, así como los logos que se van a integrar (que deben de ser validados por las Marcas). También es habitual encontrar dentro de cada plástico un teléfono de contacto en caso de pérdida o robo, así como logos específicos en función de la red en la que trabaje la tarjeta, o logos de cumplimiento con una legislación determinada, Por último, es habitual encontrar un código específico que identifica al proveedor de la propia tarjeta.
Es interesante recordar de nuevo que, la fabricación y personalización de las tarjetas se considera un proceso muy sensible que debe respetar unos mínimos tópicos de seguridad que eviten el compromiso de los datos de los titulares, evitando el fraude posterior. Las propias marcas de las tarjetas definieron sus propios programas para establecer unos procesos seguros de fabricación y personalización que recientemente fueron asumidos de manera unilateral por el PCI SSC, como se comenta al inicio del artículo, en el estándar PCI Card Production and Provisioning, en el que profundizaremos en artículos posteriores.
Referencias
https://www.bankrate.com/finance/credit-cards/the-evolution-of-credit-cards/
https://www.pcisecuritystandards.org/about_us/
https://www.pcisecuritystandards.org/document_library/
https://www.emvco.com/emv-technologies/emv-contact-chip/
Daniel García
CISM, PCI QSA, PCI QPA, PCI CPSA, ISO 27001 L.A.
Consultor de Seguridad
Depto. de Consultoría