proyecto fin de carrera ingeniería de...
TRANSCRIPT
Equation Chapter 1 Section 1
Proyecto Fin de Carrera
Ingeniería de Telecomunicación
Tecnologías para el desarrollo de sistemas de pago a
través del teléfono móvil
Autora: Amalia de Dios León
Tutor: Ángel Rodríguez Castaño
Dpto. Ingeniería de Sistemas y Automática
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Sevilla, 2018
iii
Proyecto Fin de Carrera
Ingeniería de Telecomunicación
Tecnologías para el desarrollo de sistemas de pago a
través del teléfono móvil
Autora:
Amalia de Dios León
Tutor:
Ángel Rodríguez Castaño
Dpto. de Ingeniería de Sistemas y Automática
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Sevilla, 2018
v
Proyecto Fin de Carrera: Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Autor: Amalia de Dios León
Tutor: Ángel Rodríguez Castaño
El tribunal nombrado para juzgar el Proyecto arriba indicado, compuesto por los siguientes miembros:
Presidente:
Vocales:
Secretario:
Acuerdan otorgarle la calificación de:
Sevilla, 2018
El Secretario del Tribunal
Agradecimientos
Quisiera agredecer en primer lugar a mis padres la oportunidad que me dieron para estudiar y junto a ellos
también a mis hermanos, por sus buenos consejos y por el apoyo incondicional que siempre recibo de
ellos.
También es el momento de agradecer a todos los profesores que pasaron por mi vida, por enseñarme que
la base del éxito está en el trabajo, el esfuerzo y la superación.
A mi tutor del Proyecto Fin de Carrera, por su tiempo y su ayuda, gracias Ángel, pero muy especialmente
a Rafa, a Rafa ‘Perilla’, porque si no hubiese sido por él creo que ahora no estaría escribiendo esto…
Resumen
Hoy en día cada vez está más instaurado el uso de los dispositivos móviles para realizar pagos. El número de
aplicaciones existentes en el mercado para llevar a cabo tal fin es amplio y crece exponencialmente. Esto ha sido
posible gracias a la evolución considerable que han experimentado las comunicaciones móviles y la adopción
de ‘NFC’ como tecnología por excelencia para el desarrollo de este tipo de sistemas que unidas a las capacidades
con las que cuentan ahora los teléfonos móviles, que han pasado de ser un elemento meramente de comunicación
de voz y mensajes de texto a convertirse en una herramienta casi vital para la sociedad para soportar la
complejidad de este tipo de sistemas.
En este trabajo fin de carrera se da una visión del desarrollo de estos sistemas, los actores que intervienen,
presentándose algunas soluciones actuales destacadas en el sector y, ante la diversidad de aplicaciones existentes,
se propone un modelo seguro basado en la tecnología NFC, aplicable a todos los escenarios donde se puede dar
el pago móvil: a través de Internet en el comercio electrónico, transferencias entre personas P2P y compras en
tiendas físicas.
Abstract
Nowadays, the use of mobile devices to make payments is increasingly established. The number of existing
applications in the market to carry out this purpose is wide and grows exponentially. This has been possible
thanks to the considerable evolution that mobile communications have experienced and the adoption of
'NFC' as a technology par excellence for the development of this type of systems together with the
capabilities that mobile phones now have, which have passed to become an almost vital tool for society,
going from being a mere element of voice communication and text messages to support the complexity of
this type of systems.
In this thesis, a vision is given of the development of these systems, the actors involved, presenting some
outstanding current solutions in the sector and, given the diversity of existing applications, a safe model
based on NFC technology is proposed to all the scenarios where mobile payment can be given: through
the Internet in electronic commerce, transfers between P2P people and purchases in physical stores
xiii
Índice
Agradecimientos viii
Resumen x
Abstract xii
Índice xiii
Índice de Tablas xv
Índice de Figuras xvi
Notación xix
1 Introducción 1 1.1 Antecedentes 1 1.2 Objetivos 3
1.2.1 Objetivo general 3 1.2.2 Objetivos específicos 3
1.3 Estructura de la memoria 4
2 Análisis de tecnologías y sistemas para el pago con móvil 6 2.1 Definición de pago móvil 6 2.2 Origen y evolución del pago móvil 7 2.3 Ecosistema del pago móvil 8 2.4 Clasificación de los pagos móviles 10
2.4.1 Pagos móviles por proximidad o remotos 10
2.4.2 Pagos móviles según la base del pago 11 2.4.3 Pagos móviles según la tecnología empleada 11 2.4.4 Pagos móviles según tipo de conexión 16
2.5 Modelos económicos pago móvil 16 2.5.1 Modelo centrado en el banco 16 2.5.2 Modelo centrado en el operador 17 2.5.3 Modelo del proveedor de servicio independiente 18 2.5.4 Modelo colaborativo 19
2.6 Situación actual del pago móvil 19 2.6.1 Soluciones de los fabricantes de dispositivos móviles 20 2.6.2 Soluciones de las entidades financieras 23 2.6.3 Soluciones de las operadoras 24 2.6.4 Conclusiones 24
2.7 Regulación del pago móvil 24 2.8 Perspectiva de los pagos móviles 25
3 Arquitectura del sistema de pago móvil 29 3.1 Introducción 29 3.2 Solución propuesta 30 3.3 Tecnologías empleadas 31
3.3.1 NFC 31 3.3.2 Protocolo HTTP 34 3.3.3 Protocolo SSL 35 3.3.4 Protocolo PRICE ISO 8583 35 3.3.5 Web Services 35 3.3.6 SOAP (SIMPLE OBJECT ACCESS PROTOCOL) 36 3.3.7 ANDROID 36
3.4 Arquitectura general del sistema 36 3.4.1 Módulo de Aplicación Cliente 37 3.4.2 Módulo de Aplicación Servidor 37 3.4.3 Módulo de sistema de Procesamiento de Transacciones de Pago 38
3.5 Arquitectura functional 38 3.5.1 Proceso de registro de usuario nuevo 39 3.5.2 Proceso de baja de usuario 40 3.5.3 Proceso de inicio de sesión 41 3.5.4 Proceso de registro de nueva tarjeta 42 3.5.5 Proceso de solicitud de baja de tarjeta 43 3.5.6 Verificación de disponibilidad de la tarjeta en servicio 44 3.5.7 Operativa de pago: Transacción Aprobada o Denegada 45 3.5.8 Operativa de pago: Transacción Cancelada por Usuario 46 3.5.9 Operativa de pago: Timeout de usuario vencido 46 3.5.10 Operativa de pago: Número de teléfono no dado de alta en el servicio 47
3.6 Modelo de datos 48
4 Sistema de procesamiento de transacciones de pago 53 4.1 Arquitectura técnica del sistema de Procesamiento de Transacciones de Pago 53 4.2 Consumo y provisión de servicios web 59 4.3 Intercambio de mensajes 60
4.3.1 Mensajes de operaciones en el subsistema 60 4.3.2 Descripción general de los servicios web 60 4.3.3 Envío Pago Instantáneo 63 4.3.4 Recepción Pago Instantáneo 64 4.3.5 Tratamiento de errores 65 4.3.6 Seguridad 66
5 Conclusiones y desarrollos futuros 11
xv
5.1 Conclusiones 11 5.2 Desarrollos futuros 11
Bibliografía 13
Glosario 14
Anexos 16
ÍNDICE DE TABLAS
Tabla 2–1 Comparativa de las aplicaciones de pago Android Pay, Samsung Pay y Apple Pay 20
Tabla 2–2 Atributos de un sistema de pagos móvil. 26
Tabla 4-1 Mensajes ISO 20022 para procesamiento de operaciones de pago. 60
Tabla 4-2 Servicios web en plataforma procesos online 62
Tabla 4-3 Servicios web en entidades bancarias 63
Tabla 4-4 Tratamiento errores servicios web: códigos de STATUS 65
ÍNDICE DE FIGURAS
xvii
Figura 1-1. Valor de transacciones y usuarios de pago móvil en puntos de venta. 2
Figura 2-1. Pago móvil. 7
Figura 2-2. Antecedentes al pago móvil. 8
Figura 2-3. Ecosistema del pago móvil. 10
Figura 2-4. Sistema de pagos móvil mediante SMS. 12
Figura 2-5. Pagos vía móvil según tecnología. 16
Figura 2-4. Modelo económico centrado en el banco. 17
Figura 2-5. Modelo económico centrado en el operador (Fuente: L. Chaix y D. Torre, 2011). 18
Figura 2-6. Modelo económico del proveedor de servicio independiente. 19
Figura 2-7. Modelo económico (Fuente: L. Chaix y D. Torre, 2011). 19
Figura 2-8. Presentación de Android Pay 21
Figura 2-9. Presentación de Samsung Pay 22
Figura 2-10. Presentación de Apple Pay 23
Figura 3-1. Propuesta de solución para el pago móvil. 30
Figura 3-2. Esquema NFC pasivo. 32
Figura 3-3. Esquema NFC activo. 32
Figura 3-4. Tipos de funcionamiento del dispositivo NFC. 33
Figura 3-5. Arquitectura general del sistema. 37
Figura 0-6. Arquitectura funcional del sistema. 38
Figura 3-7. Esquema de red financiera en España. 39
Figura 3-8. Proceso de registro de usuario nuevo. 40
Figura 3-9. Borrado de usuario en el servicio. 41
Figura 3-10. Proceso de inicio de sesión. 42
Figura 3-11. Registro de nueva tarjeta en el servicio. 43
Figura 3-12. Baja de tarjeta en el servicio. 44
Figura 3-13. Verificación de disponibilidad de la tarjeta en el servicio. 44
Figura 3-14. Operativa de pago: Transacción Aprobada o Denegada. 45
Figura 3-15. Transacción Cancelada por el usuario. 46
Figura 3-16. Operativa de pago: Timeout de usuario vencido. 47
Figura 3-17. Número de teléfono no dado de alta en el servicio. 47
Figura 4-1. Esquema de procesamiento de pago: Presentación delegada - Recepción directa 55
Figura 4-2. Esquema de procesamiento de pago: Presentación delegada - Recepción delegada 56
Figura 4-3. Esquema de conexión cliente-servidor de los servicios web. 61
Figura 4-4. Ejemplo de invocación de servicios web desplegados en la plataforma de proceso online. 62
xix
Notación
A* Conjugado
c.t.p. En casi todos los puntos
c.q.d. Como queríamos demostrar
∎ Como queríamos demostrar
e.o.c. En cualquier otro caso
e número e
IRe Parte real
IIm Parte imaginaria
sen Función seno
tg Función tangente
arctg Función arco tangente
sen Función seno
sinxy Función seno de x elevado a y
cosxy Función coseno de x elevado a y
Sa Función sampling
sgn Función signo
rect Función rectángulo
Sinc Función sinc
∂y ∂x
x◦
Derivada parcial de y respecto
Notación de grado, x grados.
Pr(A) Probabilidad del suceso A
SNR Signal-to-noise ratio
MSE Minimum square error
: Tal que
< Menor o igual
> Mayor o igual
\ Backslash
⇔ Si y sólo si
1
1 INTRODUCCIÓN
1.1 Antecedentes
Es evidente que en los últimos años, los avances tecnológicos originados han abierto las puertas a nuevas formas
de comercio. Con ánimo de expandirse, las empresas buscan día a día nuevas estrategias de mercado con las
cuales atraer la mayor cantidad de clientes posible. El servicio ofrecido al cliente es un factor esencial y clave
para lograr la fidelidad de los compradores potenciales y es por eso por lo que se intenta dar un paso más hacia
la búsqueda de nuevas soluciones que faciliten el comercio.
Actualmente es obvio que el uso de la tarjeta de crédito como medio de pago por la compra de los productos
adquiridos, está muy extendido. Una inmensa mayoría recurre a la tarjeta para pagar por sus compras
incluso aunque estas no sean de muy elevado coste (incluso para micropagos), porque en muchas ocasiones,
no se dispone de dinero en efectivo o es una forma más cómoda de pagar. La tarjeta ha sustituido al dinero
en efectivo como medio de pago por las compras realizadas.
Pero además hoy en día, ésta se encuentra vinculada al teléfono móvil y los pagos son efectuados a través
de éste, convirtiéndose en una alternativa real de pago a los métodos tradicionales. Entre los factores
determinantes que han impulsado el auge de estos sistemas podemos destacar la evolución y el uso
progresivo del teléfono móvil, los terminales móviles se han convertido en una herramienta casi vital para
la sociedad, lo cual ha contribuido a una gran aceptación y desarrollo de las capacidades que cada vez
cuentan con más funcionalidades. Han pasado de ser un elemento meramente de comunicación para cada
vez soportar servicios más allá de voz y mensajes de texto, convirtiéndose en un nuevo canal con el que los
bancos, operadoras, proveedores de software y el resto de los actores involucrados, no quieren dejar escapar
una oportunidad de negocio en la explotación de un mercado creciente.
Otro factor determinante en el desarrollo de estos sistemas, ha sido la evolución que han experimentado
las comunicaciones móviles y la aparición de nuevas tecnologías como ‘NFC’, que ha sido acogida como
la tecnología por excelencia en este tipo de sistemas. Todo esto propiciado por el factor sociológico, ya q
se cuenta con la aprobación por parte de los usuarios que la utilizan.
Los pagos con móvil en España, alcanzaron el año pasado la cifra de 350 millones de Euros y se prevé que
alcancen casi los 2.000 millones de Euros en el año 2021, como muestra la Figura 1-1. Valor de transacciones y
usuarios de pago móvil en puntos de venta (Fuente Statista Digital Market Outlook)
Introducción
2
Figura 1-1. Valor de transacciones y usuarios de pago móvil en puntos de venta.
Inicialmente, el pago por móvil se concebía como un medio idóneo para pagar en aquellas situaciones donde la
tarjeta de crédito no era aceptada y la disposición de dinero suelto con el importe exacto era complicada; por
ejemplo, en las recargas de móviles, las entregas a domicilio, taxis, las máquinas expendedoras de refrescos u
otros artículos.
Pero a medida que la tecnología avanzaba y la cultura del móvil se incorporaba a nuestras vidas, el pago por
móvil, se hizo extensible para enviar o pedir dinero a otra persona, sin necesidad de ir al banco y sin necesidad
de conocer los datos bancarios del beneficiario. El dinero transferido a otro abonado era ingresado en la cuenta
asociada a la tarjeta bancaria del usuario final. La comodidad y rapidez avalan esta forma de pago cada día más
utilizada.
Ante todo lo expuesto, surge la idea de mostrar las características y las arquitecturas sobre la que se sustentan
estos sistemas cada vez más usados para realizar pagos, prestando especial atención a los aspectos que tienen
que ver con la seguridad, disponibilidad y acceso y se propone presentar un modelo de provisión de pago
mediante tarjeta a través de teléfonos móviles haciendo uso de la tecnología NFC ya que hoy día, los teléfonos
móviles constituyen un recurso al alcance de prácticamente todo el mundo y su uso masivo ha permitido un
desarrollo considerable de la tecnología que lo soporta, desarrollando más facultad de memoria y adquiriendo
más capacidad de computo ampliando por tanto su utilidad más allá, de la telefonía convencional y abriéndose
paso al comercio móvil, el cual ha experimentado en la última década una evolución considerable gracias al uso
de esta tecnología.
3
3 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
1.2 Objetivos
1.2.1 Objetivo general
Dentro de los objetivos que se pretenden alcanzar con el desarrollo del proyecto, podemos destacar como
principal, dar una visión general de las características y arquitecturas que sustentan los sistemas de pagos móviles
así como el desarrollo e implementación de un modelo de sistema de pago mediante tarjeta a través del teléfono
móvil, como alternativa para escenarios móviles a los mecanismos ya existentes en los sistemas tradicionales en
escenarios fijos.
1.2.2 Objetivos específicos
Los objetivos específicos de este trabajo son los siguientes:
1. Explotar los recursos que ofrecen los terminales móviles y herramientas de comunicación con ellos, ya que
los teléfonos móviles no solo son usados para comunicación, sino que adquieren funcionalidades nuevas, como
herramientas para el comercio móvil
2. Aprovechamiento del uso masivo de los teléfonos móviles, ya que en la actualidad los costes cada vez más
reducidos de los equipos terminales y el despliegue de toda la infraestructura desarrollada para el uso de éstos,
hace que sea cada vez más accesible toda esta tecnología a un mayor número de población. Si se suma a esto,
el hecho de la constante expansión de las redes de telefonía móvil, los teléfonos móviles presentan cada vez en
mayor medida, una gran ventaja como medio de comercio electrónico con respecto a los medios tradicionales
de cobro con tarjetas
3. Análisis de tendencias y principales modelos en sistemas de pago a través de dispositivos móviles.
4. Profundizar en la tecnología de campo cercano Near Field Communication (NFC) como alternativa de
implementación de sistemas de pago a través de dispositivos móviles
5. Facilitar las transacciones a través del teléfono móvil a compradores y vendedores de la pequeña empresa que
no disponen de los medios económicos para optar por los sistemas tradicionales de terminales punto de venta
que por contrapartida están implantados en grandes comercios, ampliando por tanto su área de mercado a
clientes que no pagan en efectivo.
6. Reducción de costes en las transacciones aprovechando el hecho de que las comisiones por utilizar el teléfono
móvil como un Terminal de Punto de Venta serán mucho más reducidas.
7. Resaltar las características de seguridad impuestas para un servicio de transacciones bancarias como el
expuesto en el presente trabajo.
Introducción
4
1.3 Estructura de la memoria
La presente memoria está dividida en cinco capítulos. El contenido de cada uno de ellos es
el que se presenta a continuación:
Capítulo 1. Introducción
Da una visión general de la situación que ha motivado la propuesta de este proyecto, así como la
descripción de los objetivos que intenta abarcar
Capítulo 2. Análisis de tecnologías y sistemas para el pago con móvil
En este capítulo se define qué es un pago móvil exponiéndose los conceptos asociados al término, sus
orígenes, los actores implicados, así como las tecnologías más usadas en el desarrollo de estos sistemas.
Se describe además la situación en la que se encuentran estos sistemas y las perspectivas futuras de los
pagos móviles.
Capítulo 3. Arquitectura del sistema de pago móvil
En este capítulo presentaremos la arquitectura de la solución propuesta, como modelo unificado en
esquemas de pago presenciales o a distancia, dirigida a todo tipo de clientes que quieran consumir
este servicio de ‘Pago Móvil’ a través de los módulos que la conforman y las tecnologías utilizadas
para su implementación.
Capítulo 4. Sistema de Procesamiento de Transacciones de Pago
En este capítulo se presentan los componentes del módulo de sistema de Procesamiento de
transacciones de pago y cómo se llevan a cabo dichas transacciones
Capítulo5. Conclusiones y líneas futuras En este capítulo se narran las reflexiones realizadas una vez finalizado el proceso de desarrollo,
así como los temas que se han considerado interesantes para un desarrollo futuro
Análisis de tecnologías y sistemas para el pago con móvil
6
2 ANÁLISIS DE TECNOLOGÍAS Y SISTEMAS PARA
EL PAGO CON MÓVIL
n este capítulo vamos a abordar la definición de pago móvil y los conceptos asociados al término,
sus orígenes, los actores que intervienen, así como las tecnologías más usadas en el desarrollo de estos
sistemas. Se describirá además la situación en la que se encuentran actualmente estos sistemas,
exponiendo algunas plataformas disponibles en el mercado. Finalmente se hablará de las perspectivas futuras de
los pagos móviles.
2.1 Definición de pago móvil
Los teléfonos móviles actuales (smartphones), constituyen un recurso al alcance de prácticamente todo el mundo
y su uso masivo ha permitido un desarrollo considerable de la tecnología que lo soporta, desarrollando más
facultad de memoria y adquiriendo más capacidad de computo, ampliando por tanto su utilidad más allá, de la
telefonía convencional y abriéndose paso al comercio móvil, el cual ha experimentado en la última década una
evolución considerable que ha traído una revolución tecnológica por su impacto económico y social.
El pago móvil, mobile payment o m-payment se define como:
"cualquier transacción de índole financiera de naturaleza particular o empresarial realizada por medio
de dispositivos móviles usados éstos, para iniciar, autorizar y confirmar el intercambio de valores
financieros".
E
7
7 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Figura 2-1. Pago móvil.
2.2 Origen y evolución del pago móvil
Durante los años 90, la aparición de Internet y el desarrollo del comercio electrónico, representaron un avance
radical en los hábitos de pago, en tanto en cuanto se permitía hacer operaciones sin necesidad de estar físicamente
en el sitio de realización de la compra. Las tarjetas de crédito, domiciliaciones, transferencias han estado
usándose en el comercio electrónico para realizar pagos desde entonces, sin embargo la tarea de mantener la
seguridad de estas transacciones ante posibles ataques, hicieron q se mejoraran estas formas de pago
tradicionales para ser usadas electrónicamente y que surgieran nuevas maneras de pagar en línea.
Surgen en este periodo los esfuerzos para generar una solución utilizando el móvil como herramienta para
efectuar el pago y sería Coca Cola en 1997, la primera en crear un sistema de pago por móvil q permitía comprar
refrescos en una máquina expendedora que procesaba la venta a través de la tecnología SMS.
Más tarde, ese mismo año, se introduce el primer sistema de pago móvil con tecnología RFID, que permite a los
usuarios pagar de manera rápida sus consumos de gasolina. Será en 2004 cuando las tecnológicas Nokia, Sony
y Philips se unen para formar el NFC Forum a fin de promover la seguridad y facilidad de uso de la comunicación
de campo cercano NFC en la realización de transacciones y es al año siguiente cuando la compañía Nokia lanza
el primer teléfono habilitado con NFC para pagos. El mercado de pagos móviles alcanza los 69 mil millones de
dólares en ventas en el año 2009. Más tarde, en el año 2011, Google lanza su primer servicio de pagos móviles
denominado Google Wallet, basado en la tecnología NFC
Apple, años más tarde, en 2014 anuncia el lanzamiento de Apple Pay, servicio que permite a los usuarios del
iPhone realizar pagos móviles mediante la tecnología NFC a través de las aplicaciones Touch ID y Passbook.
En 2015 Samsung Pay se incorpora al mercado de los pagos móviles. Los consumidores pueden ahora utilizar
sus dispositivos móviles basados en NFC junto con la tecnología MST (Magnetic Secure Transmission)
permitiendo que los pagos móviles sean más accesibles. En ese mismo año es anunciado Android Pay
oficialmente para smartphones que con tecnología NFC y sistema operativo KitKat 4.4 o superior de Google.
Se unen un poco más tarde prácticamente la totalidad de las entidades financieras en España, con aplicaciones
propias para pagar con el 'smartphone', siendo BBVA la primera en ofrecer el pago móvil
Para el año 2020, se prevé que el 90 por ciento de los usuarios de smartphones habrá realizado al menos un pago
móvil.
La progresiva evolución y el uso creciente de smartphones, junto con el acceso a internet de alta velocidad desde
Análisis de tecnologías y sistemas para el pago con móvil
8
el móvil, han contribuido al crecimiento de las transacciones móviles. Es por ello que las entidades financieras
invierten en modelos de negocio digitales, ganando cada vez más adeptos con los métodos de pagos móviles.
No han pasado más de 25 años de eso y el escenario sobre los pagos en línea ha cambiado enormemente y en la
actualidad las transacciones financieras y comerciales están apuntando hacia los sistemas de pagos móviles de
una forma cada vez más creciente.
Figura 2-2. Antecedentes al pago móvil.
2.3 Ecosistema del pago móvil
Los servicios de pago móvil requieren la interacción de muchos actores que se encuentran involucrados directa
o indirectamente, conocidos a todos ellos como stakeholders. Al tratarse el pago móvil de un ecosistema que se
basa en la transacción financiera, las entidades bancarias adoptan un rol predominante, pero no único.
A continuación se muestran los intervinientes involucrados en el ecosistema del pago móvil dando lugar a la
arquitectura del pago móvil. Estos son:
Las Entidades financieras o Proveedores de Servicios Financieros
Son los que proporcionan liquidez para el proceso de compra. Pueden ser bancos, emisores de tarjetas
de crédito o uniones de crédito o cualquier organizaciones que poseen suficientes fondos para
permitir estas operaciones.
El operador de telefonía, empresa de telecomunicaciones o Proveedor de Redes Móviles
Es el que provee el servicio de redes para el pago móvil.
El proveedor de servicios de Aplicación de pago móvil.
9
9 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Este emplea una infraestructura (hardware y software), sirviendo de intermediario entre las
instituciones financieras y los operadores de redes móviles.
Redes y sistemas de medios de pago
Los pagos electrónicos actuales se realizan mediante tarjetas de crédito y débito, emitidas por los
bancos, que ofrecen su servicio tanto al comerciante (adquiere el pago) como al consumidor final
(emite la tarjeta). Los sistemas informáticos y las redes de comunicación segura que permiten
dichos pagos son operados por empresas especializadas, procesadores de pago, que aseguran la
integridad de los servicios.
Los usuarios.
Los usuarios del servicio de aplicación móvil son los comerciantes y los compradores (consumidores)
y deben registrarse en el sistema antes de usar sus servicios.
Además de los participantes mencionados, existen otros actores secundarios, que no intervienen tan
directamente en el proceso o, al menos, no con tanta frecuencia, pero que son necesarios para un correcto
funcionamiento. Estos son:
Las autoridades
El Estado con su regulación y normativas en sus distintos niveles debe promocionar este método de
pago
Las empresas emisoras de tarjetas de pago.
MasterCard y Visa se han convertido en aliados para desarrollar iniciativas de pago móvil.
La Autoridad Certificadora.
Entidad encargada de velar por los certificados de seguridad en todo el proceso del pago móvil
Proveedores de software
Permiten el desarrollo, integración y mantenimiento de aplicaciones no sólo para los usuarios y
comercios, sino también para el resto de actores: bancos, redes de medios de pago y operadores.
Son también responsables de los chips en las tarjetas bancarias y la SIM de los teléfonos
Fabricantes de equipos
Tanto los fabricantes de dispositivos móviles, cómo los proveedores de TPV para los comercios,
etc.
Gestores de Servicios de Confianza (TSM: Trusted Service Managers)
Análisis de tecnologías y sistemas para el pago con móvil
10
Permiten la gestión de los servicios de provisión y posventa en el ecosistema de pagos móviles de
una manera independiente y segura. Estos gestores de servicio neutrales pueden facilitar los
acuerdos operativos entre los principales actores.
Figura 2-3. Ecosistema del pago móvil.
2.4 Clasificación de los pagos móviles
Para los pagos realizados a través de dispositivos móviles, existen varias clasificaciones atendiendo a varias
características, como por ejemplo a si el pago se produce de forma presencial (por proximidad) o por el contrario
se realiza en escenarios donde éste se produce de manera remota dando una clasificación de pagos por
proximidad o remotos, otra clasificación podría hacerse atendiendo a la tecnología empleadas para llevar a cabo
estos sistemas, otra según base del pago (uso de medios de pago bancarios o pagos cargados en la factura del
teléfono).
2.4.1 Pagos móviles por proximidad o remotos
2.4.1.1 Pago por proximidad
El pago por proximidad suele hacer referencia a los pagos efectuados “sin contacto” (“contactless”), en los que
la credencial de pago se almacena en el dispositivo móvil y se transmite de forma inalámbrica mediante el
empleo de tecnología NFC (Near Field Communication), a un terminal de pago dedicado y compatible. En otras
palabras, el dispositivo móvil actúa como una tarjeta de pago “sin contacto” y se convierte, de este modo, en una
nueva modalidad de pago.
11
11 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
El pago mediante tecnología “sin contacto” también se puede efectuar de forma remota; por ejemplo, es
posible realizar una compra en línea pasando el dispositivo móvil por un lector de NFC conectado a un
ordenador personal.
2.4.1.2 Pago remoto
El pago remoto cubre los pagos efectuados a través de un explorador (“browser”) web móvil o de una
aplicación app residente en un teléfono inteligente, utilizando el mismo como dispositivo para autenticar
de forma remota la información personal almacenada. Las soluciones de pago remoto también se pueden
emplear para realizar transacciones presenciales.
2.4.2 Pagos móviles según la base del pago
Uno de los principales problemas que se tienen para los pagos móviles es la decisión acerca de qué entidad va a
proveer el soporte para la infraestructura financiera: el banco, el operador móvil, una empresa privada/pública o
un consorcio. Hay cuatro modelos disponibles para soluciones de m-payments, de acuerdo con la base del pago:
cuenta bancaria, tarjeta de crédito, facturación por el operador de red móvil y dinero electrónico.
2.4.3 Pagos móviles según la tecnología empleada
Existe varias formas de realizar un pago a través del móvil basada en la tecnología con la que se implementan
estos sistemas: a través de SMS o alguna tecnología de mensajería similar como USSD, a través de una
aplicación móvil diseñadas para los smartphones, sin contacto con móviles que disponen de la tecnología
necesaria para ello, o simplemente a través de la web (un explorador web móvil). A continuación se expone el
funcionamiento de cada uno de estos métodos de pago vía móvil.
2.4.3.1 SMS como sistema de pago móvil
El servicio de mensajes cortos, SMS, es una de las tecnologías móviles más simples y la más extendida. Surgió
como parte del estándar de telefonía móvil digital GSM y actualmente se encuentra disponible en prácticamente
todas las redes incluyendo la 4G y todos los teléfonos móviles
Desde su nacimiento, debido a la gran aceptación por parte de los usuarios de telefonía móvil, se aprovechó
tiempo después para usarlo como solución en los sistemas de pago con móvil. Fue por tanto el primer método
de pago móvil en aparecer. Comenzó a utilizándose para la compra de melodías, imágenes, juegos, y para otro
tipo de micropagos a través del móvil.
SMS consiste en una cadena de caracteres que se envían por el canal de señalización de la red al centro de
servicios de mensajes cortos SMSC (Short Message Service Center) de la operadora móvil, el cual se encarga
de almacenar y distribuir estos mensajes por todos los elementos de la red. Cuando se envía un mensaje SMS,
para asegurar que dicho mensaje llegue de forma exitosa hasta el emisor, el SMSC adiciona información en el
Payload del SMS. Esta información registra fecha de envió, el número del remitente, número del destinatario y
el número SMSC para que empiece la gestión.
Un elemento fundamental para los sistemas de pago móvil basados en el servicio SMS es el Gateway de SMS,
que hace de intermediario entre la operadora móvil y el sistema de pago. Un sistema de pago con móvil basado
en el servicio de SMS, consta de los siguientes elementos:
Análisis de tecnologías y sistemas para el pago con móvil
12
Figura 2-4. Sistema de pagos móvil mediante SMS.
1 El usuario envía un SMS a un número corto con una palabra clave que identifique el contenido que
desea.
2 La plataforma genera aleatoriamente una clave única que envía tanto al teléfono móvil del usuario
como a la página web de la empresa cliente.
3 En la web de la empresa cliente se permite el acceso al contenido para la contraseña recibida y la
empresa recibe el pago correspondiente menos una comisión que cobra la plataforma por los servicios.
4 El usuario consigue acceder al contenido de pago empleando la contraseña que ha recibido en el mensaje
SMS de respuesta en su teléfono móvil.
Aunque no existe una solución abierta que obligue a que los pagos por móvil a través de SMS sean de una
manera determinada, y por tanto, cada plataforma de pago puede tener sus variantes, aquí se va a exponer un
modo general de funcionamiento que puede estar sujeto a variaciones dependiendo de quién implemente la
solución.
Para el pago físico, en general la forma de pagar con móvil mediante SMS sigue el siguiente procedimiento:
- El comprador le indica al comerciante que desea pagar mediante el móvil.
- El comerciante elige esa opción en el TPV y le pide el número de teléfono al comprador.
- La plataforma de pago correspondiente le envía un sms al usuario indicando la referencia del producto
y el coste, y el usuario tendrá que responder el sms introduciendo el NIP (Número de identificación
personal).
- Una vez que la plataforma de pago haya recibido la confirmación del pago por parte del usuario, envía
la petición de pago hacia la entidad de pago del cliente para que se procese y se cargue el coste del
producto que ha comprado
13
13 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
La entidad de pago del cliente comprueba si es posible realizar la transacción, y si la transacción es posible envía
la confirmación tanto a la plataforma de pago como al servidor del comerciante y si todo va bien, al comprador
le llegará un SMS indicándole que la operación ha sido realizada con éxito, y al TPV también llegará la
confirmación de que la transacción se ha realizado.
Normalmente el envío de los mensajes entre el usuario y la plataforma de pago está automatizado mediante una
aplicación que reside en el terminal móvil del usuario, ya que una de las ventajas del SMS es que puede
interactuar con una aplicación cliente que se encuentre instalada en el móvil. Esta aplicación puede estar
almacenada tanto en la memoria del terminal móvil como en la SIM del teléfono móvil del usuario del pago y
es la encargada antes del envío del SMS, de encriptar el mensaje ya que éstos solo van cifrados desde la estación
móvil del usuario hasta la estación base del proveedor de servicios y en el tramo durante el cual el SMS viaja
entre el proveedor de servicios y la plataforma de pago móvil no y por tanto el código NIP podría ser
interceptado.
Entre las ventajas de estos servicios, destacan:
- Es rápido de usar
- No es necesario acceso a Internet, pues funciona con proveedor de GSM
- Telefonos 100% compatibles con este servico
- Metodo bueno para micropagos
- Globalmente usado
- No entran en juego datos personales o detalles de la cuenta (registrados dentro de los servidores de las
plataformas de pago)
Como inconvenientes:
- No aporta fiabilidad para pagos SMS de transacción grandes
- Velocidad lenta en envío de mensajes
- Seguridad: El cifrado SMS solo se da en el interfaz de radio
- Alto coste de funcionamiento y de apoyo a las transacciones de pagos
Este es el sistema en que se basó BOKU cuando salió al mercado en EEUU, que combinó la experiencia de las
compras por internet con los pagos a través del móvil cuando aún estaban apareciendo los primeros smartphones
en el mercado y pocos clientes disponían de internet en el móvil. A través del sistema BOKU, cuando el cliente
quería comprar un producto en internet, únicamente debía seleccionar la opción “pago con BOKU” y recibía un
SMS que debía contestar autorizando el pago con la letra Y (“yes”), de forma que el importe del producto
comprado era cargado a su factura del móvil.
Estos sistemas además de usarse para estos pequeños pagos, y para comprar productos, también se han utilizado
para hacer transferencias a través del móvil.
2.4.3.2 Pago móvil a través de aplicaciones móviles
La mayoría de estos métodos funcionan mediante la asociación de la aplicación a una cuenta bancaria, a una
Análisis de tecnologías y sistemas para el pago con móvil
14
tarjeta de crédito o débito, o por PayPal.
A continuación se muestra el ejemplo de plataforma de pago mediante app, la de la aplicación GoogleCheckout
para móvil. Para poder utilizar este sistema de pago, el usuario necesita disponer de un Smartphone con un
sistema operativo que soporte la aplicación GoogleCheckout. Además también deberá disponer en el
Smartphone de un navegador web (micronavegador) que le permita acceder a la página web del comerciante.
El comprador accede a la página Web del comerciante y elige el producto que desea comprar. Una vez el
cliente ha elegido el producto, elige la opción de pago GoogleCheckOut. Si el cliente accede por primera
tendrá que darse de alta en la aplicación facilitando un nombre de usuario, contraseña y demás datos
personales, entre los que se encuentran los datos bancarios. Lo bueno de este sistema de pago es que los
datos bancarios solo se introducen una vez cuando el usuario se da de alta en el sistema. A partir de ese
momento los datos quedan almacenados en el servidor de la aplicación debidamente encriptados y cuando
el usuario acceda a la plataforma bastará con que facilite su nombre de usuario y contraseña para efectuar
la compra. Es un sistema de pago muy similar al utilizado por Paypal.
Las comunicaciones de Googlecheckout con las instituciones financieras para realizar el pago, son establecidas
mediante sesiones encriptadas SSL o bajo redes privadas o VPNs. Y si la compra se realiza correctamente,
GoogleCheckout informa tanto al cliente como al comerciante de que la transacción se ha realizado
correctamente.
Otros ejemplos de aplicaciones que permiten realizar pagos pueden ser aplicaciones que funciona mediante la
asociación del ID de Apple a una tarjeta de crédito o débito o cualquier otra aplicación para realizar pagos y
transferencias como las desarrolladas por los bancos.
En ocasiones, estas aplicaciones se crean para que funcionen conjuntamente con la tecnología NFC que permite
hacer pagos móviles sin contacto.
2.4.3.3 Pago móvil sin contacto
Los pagos por proximidad o “contactless payments”, se basan en realizar un pago por la mera aproximación
del dispositivo móvil al terminal de pago. Esta modalidad requiere que el móvil disponga de tecnología de radio
de corto alcance como la tecnología NFC (Near Field Communication). Se trata de una tecnología basada en
una interfaz inalámbrica que permite la comunicación entre dos dispositivos próximos (en un radio de menos de
20 cm) estableciendo una conexión wireless. Los dispositivos equipados con estas tecnologías permiten realizar
pagos, pero es necesario que en el punto de venta exista una infraestructura de detectores.
Para poder realizar los pagos con la tecnología NFC desde el terminal móvil, es necesario que el móvil
incorpore nativamente la tecnología NFC, que básicamente consiste en un chip, o también existe la
posibilidad de que este chip sea incorporado al teléfono mediante una tarjeta de memoria externa o la
propia SIM. Además de disponer del chip NFC el terminal móvil deberá disponer de una aplicación que
le permita ejecutar el con la tecnología NFC.
El comerciante debe disponer de un terminal de venta virtual TPV que implemente la tecnología NFC y le
permita al cliente realizar el pago mediante ese método. El cliente tendrá vinculados a la aplicación NFC los datos de la tarjeta de crédito y una vez se efectúe la
comunicación entre el terminal móvil y el TPV, el resto de la infraestructura de pago funcionaría igual
que cuando un usuario se dispone a efectuar un pago con tarjeta mediante datafono
La información que viaja entre el terminal móvil y el TPV durante la comunicación NFC viaja encriptada.
La diferencia principal estriba en que la transacción es asíncrona, es decir, una vez que el TPV del
comerciante recibe los datos bancarios del cliente a través del protocolo NFC, no realiza la comunicación
con la entidad bancaria en el mismo momento sino que almacena la petición y efectúa la transacción más
tarde, haciendo que el pago sea mucho más rápido y ágil.
15
15 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Entre las ventajas de este tipo de servicios, destacan:
- Es un sistema robusto
- Presenta la comodidad de tener la tecnologia en el móvil y activarlo cuando el usuario desee
- El tiempo de conexión entre dispositivos que actúan para la realización del pago es muy rápido (< 0,1
segundos) y dicha conexión se realiza automáticamente
- Implementa protocolos de seguridad para la transmisión de datos
Y como inconvenientes podemos destacar:
- Implementaciones más costosas
- La programación de HW y SW compleja
- La penetración de teléfonos de última generación con chips NFC es baja aún en algunos países
Un ejemplo de sistemas de pago basados en NFC es Google Wallet, la cual se empezó a utilizar en EE.UU y
permitía a los usuarios almacenar en el teléfono los datos sus tarjetas de crédito (al principio solo tarjetas de
crédito Mastercard), para eliminar la necesidad de llevarlas físicamente en una billetera.
Google Wallet permite almacenar dinero en el teléfono móvil a través de una aplicación, la cual se asocia con
una tarjeta de crédito y permite mantener un saldo de efectivo a disposición en cualquier momento
La tecnología NFC es parte Google Wallet, por lo que su uso está enfocado para smartphones con sistema
operativo Android 4.4 o superior, y a las tiendas físicas que dispongan de un TPV con chip NFC
integrado. El usuario simplemente acerca el equipo al TPV para realizar el pago y se descuenta el saldo
desde la aplicación. Para los pagos en línea, se accede mediante la aplicación del móvil y de descuenta el
monto a pagar Google Wallet.
Google Wallet ofrece un nivel de seguridad alto ya que los datos de tarjetas o bancarios no son enviadas
directamente, si no que la aplicación sirve como puente y desde ahí se realizar todo el intercambio de
información con las tiendas o comercios.
2.4.3.4 Pago móvil a través de un explorador web móvil
Son los pagos que se llevan a cabo en el ámbito del comercio electrónico usando el teléfono móvil para la
realización del pago.
Análisis de tecnologías y sistemas para el pago con móvil
16
Figura 2-5. Pagos vía móvil según tecnología.
2.4.4 Pagos móviles según tipo de conexión
Existe una categorización definida según el tipo de conexión: los que requieren una conexión a la red en todo
momento para la realización de una transacción (pagos on-line) y aquellos que no la requieren (pagos off-line).
Pagos on-line: las acciones de pago y depósito se ejecutan al mismo tiempo, ya que la conexión obliga
y permite la comprobación de la validez de los fondos monetarios para la realización de la transferencia.
Pagos off-line: una muy buena opción para contextos en donde la conexión a la red no siempre se
garantiza o donde no se puede manejar mucho tráfico en la red.
2.5 Modelos económicos pago móvil
Se definen los siguientes modelos económicos relativos al pago mediante móvil:
Centrado en el banco: las aplicaciones móviles o dispositivos son proporcionados por un banco a los
clientes.
Centrado en el operador: el servicio se ofrece a través de un operador de red móvil, quien puede ofrecer
una billetera móvil independiente, con dinero en efectivo o dinero electrónico almacenado en la SIM o
en una aplicación software
Modelo de proveedor de servicio independiente: una institución privada o pública o una empresa,
independiente de las instituciones financieras y los operadores de redes móviles es el proveedor de
servicios de pago móvil
Colaborativo: los bancos, operadores móviles y un tercero de confianza cooperan para la prestación del
servicio de pago móvil, incluyendo la emisión de dispositivos que aseguren la fidelidad de los clientes
de marca compartida.
2.5.1 Modelo centrado en el banco
Se enfocan especialmente en la institución que se encarga de proveer el servicio. El banco constituye el nodo
central del modelo, y es quien maneja las transacciones y se encarga de la administración de las cuentas de los
17
17 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
usuarios dentro de una plataforma tecnológica. Este modelo puede ser considerado como una evolución de la
utilización de la tarjeta de crédito. El banco provee el medio de pago (aplicación teléfono móvil) para los
usuarios, y quienes reciben los pagos, comúnmente intermediarios comerciales, pueden o no tener cuenta en el
mismo banco. Es necesario, que opere un sistema general de compensación entre los bancos involucrados, y se
pagan las tarifas que impongan los operadores móviles involucrados en la operación.
Figura 2-6. Modelo económico centrado en el banco.
2.5.2 Modelo centrado en el operador
El rol estratégico pertenece a un operador de telecomunicaciones, quien provee la tecnología, opera las
transacciones y compensa el sistema. Antes de realizar los pagos, es necesario que el sistema de pagos móviles,
se conecte a cuentas bancarias o se hagan depósitos de efectivo. Después de la compensación de las
transacciones, hay la necesidad de acreditar las cuentas o pagar en efectivo a los últimos receptores. En este
nivel, un tercer actor debe proveer la liquidez al sistema, y ser compensado por el operador.
Este modelo ha sido ampliamente difundido por las operadoras telefónicas en el mundo.
Análisis de tecnologías y sistemas para el pago con móvil
18
Figura 2-7. Modelo económico centrado en el operador (Fuente: L. Chaix y D. Torre, 2011).
2.5.3 Modelo del proveedor de servicio independiente
La característica de este modelo, es la participación de un tercer actor, distinto a una institución financiera, o un
operador móvil, el cual cumple la función de intermediario entre los bancos, las compañías de telefonía móvil,
los agentes y los usuarios finales.
Un ejemplo de este modelo pueden ser las compañías de internet, quienes han tenido experiencia en el manejo
de transferencias monetarias y la organización del comercio electrónico, como es el caso de PayPal.
19
19 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Figura 2-8. Modelo económico del proveedor de servicio independiente (Fuente: L. Chaix y D. Torre, 2011).
2.5.4 Modelo colaborativo
En este modelo trabajan conjuntamente los intermediarios financieros con las operadoras telefónicas móviles.
Las instituciones financieras se encargan del manejo financiero y las operadoras de telefonía móvil, se encargan
de la seguridad de la red móvil por donde se transmitirá la información.
Figura 2-9. Modelo económico (Fuente: L. Chaix y D. Torre, 2011).
2.6 Situación actual del pago móvil
Las soluciones de pago móvil que han salido al mercado son muy numerosas y parecidas, por lo que ninguna ha
destacado de forma notable respecto del resto. Para llevar a cabo el estudio se realiza una división entre las
aplicaciones proporcionadas por los fabricantes de dispositivos móviles, aquellas que desarrollan las entidades
financieras y las que ofrecen las operadoras móviles, siendo las prestaciones de todas ellas muy parecidas.
Análisis de tecnologías y sistemas para el pago con móvil
20
2.6.1 Soluciones de los fabricantes de dispositivos móviles
La Tabla 2.1 muestra una breve comparativa entre las diferentes características que aportan las tres
aplicaciones de pago más destacables: Android Pay, Samsung Pay y Apple Pay
Tabla 2–1 Comparativa de las aplicaciones de pago Android Pay, Samsung Pay y Apple Pay.
Android Pay
Android Pay se lanzó al mercado en el año 2015 de la mano de Google como un sistema de pago para todos los
dispositivos con sistema operativo Android 4.4 o superior habilitados con NFC con el fin de crear para el ususrio
una experiencia de compra fácil y segura.
El sistema de pago Android PAy, uso del Host Card Emulation (HCE) permitiendo a las aplicaciones
móviles que se ejecutan en sistemas operativos compatibles representar virtualmente y de forma segura a
través del NFC una tarjeta inteligente para poder realizar una transacción aprovechando los procesos
criptográficos basados en hardware sin necesidad de usar el elemento seguro físico
Para realizar un pago con Android Pay, simplemente será necesario acercar el teléfono al TPV de forma
que se realice una conexión a través de NFC.
En cuanto a seguridad, Android Pay está basada en tokens, de forma que los detalles de las tarjetas de
crédito o débito no se envían con el pago, sino que se utiliza un identificador único que reemplaza el
número de la tarjeta de crédito con 16 dígitos, proporcionando una capa extra de seguridad. Al momento
21
21 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
de realizar una compra, el usuario podrá ver una confirmación del pago como extra de seguridad que
muestra dónde se ha realizado la transacción
Figura 2-8 Presentación de Android Pay
Samsung Pay
Samsung Pay es un sistema de pago que facilita las transacciones seguras para sus clientes, mediante el uso
de sus dispositivos móviles para pagar en puntos de venta, que dispongan de un chip NFC y junto con la
tecnología MST (Magnetic Secure Transmission). La gran ventaja de Samsung Pay sobre sus rivales, se
debe a la incorporación de la tecnología MST que permite a los usuarios hacer pagos en casi cualquier TPV,
ya sea que disponga de la tecnología NFC o sea un lector tradicional de tarjetas con banda magnética.
En cuanto a seguridad, Samsung Pay trabaja con tres capas de seguridad:
1. Los datos codificados de las tarjetas de crédito se almacenan en el elemento seguro del dispisitivo
2. El uso de la huella dactilar añade un nivel extra de seguridad para completar los pagos.
Los pasos para el uso de Samsung Pay son:
1. Registrar los datos de las tarjetas de crédito en la aplicación.
2. Deslizar hacia arriba en la pantalla principal para seleccionar la tarjeta para el pago.
3. Autorizar el pago de forma segura mediante la huella dactilar.
4. Acercar el teléfono al TPV para completar la transacción.
Análisis de tecnologías y sistemas para el pago con móvil
22
Figura 2-9 Presentación de Samsung Pay
Apple Pay
En el año 2014, se lanza al mercado el sistema de pagos Apple Pay basado en la tecnología NFC,
integrada en la aplicación Passbook, y para activarla únicamente se requiere asociar un número de tarjeta
de crédito o débito. Al tener la información de las tarjetas almacenadas en la aplicación, el proceso de pago se
reduce a colocar el dispositivo móvil cerca del TPV y confirmar la transacción mediante la huella digital de
Touch ID. El dispositivo reproduce una vibración notificando que la transacción fue realizada de manera
exitosa.
A continuación, se detalla el proceso de funcionamiento de Apple Pay:
1. Los usuarios vinculan en Apple Pay sus tarjetas de crédito MasterCard, Visa o American Express, ya
sea directamente en la aplicación, o mediante la importación de la información desde las cuentas de
iTunes.
2. Se configura un nivel de seguridad mediante el registro de la huella dactilar a través de Touch ID. Este
es el sustituto del código PIN tradicional.
3. En los comercios establecimientos habilitados para Apple Pay, solo será necesario acercar los
dispositivos a los TPV, para posteriormente confirmar el pago con la huella dactilar.
En referencia a la seguridad de la Apple Pay, cuando el usuario agrega información de tarjetas de
crédito o débito, esta no se almacena en los servidores de Apple, ya que se le asigna un número de
23
23 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
cuenta al dispositivo, que será cifrado y almacenado de forma segura en el dispositivo. En cada
transacción, se crea un identificador único de un solo uso con el número de cuenta del dispositivo,
para ello Apple Pay utiliza la tokenización no
Figura 2-10 Presentación de Apple Pay
2.6.2 Soluciones de las entidades financieras
Son numerosos los bancos que se han querido reinventar tecnológicamente y han apostado por el móvil como
método de pago, creando sus propias aplicaciones. Algunos ejemplos son: Bankia, Bankinter, BBVA,
CaixaBank, ING Direct, Sabadell, Santander, Evo, etc.
Todas estas aplicaciones presentan funcionalidades similares, que incluyen la posibilidadde establecer pagos
presenciales en establecimientos físicos, sin la necesidad de utilizar la tarjeta inteligente. La mayoría de
aplicaciones móviles utilizan la tecnología NFC para establecer las comunicaciones entre el móvil y el terminal
de pago.
Algunas aplicaciones almacenan los números de las tarjetas físicas del cliente en la cartera virtual, con el fin de
emular el pago cómo si la operación se desencadenase con dicha tarjeta. Otras aplicaciones permiten disponer
de una tarjeta únicamente virtual, que no presenta relación aparente con los datos sensibles de la tarjeta física
del titular, con la finalidad de aportar robustez a la transacción.
El caso de la aplicación Twyp Cash de ING se diferencia fundamentalmente del resto de aplicaciones en que no
utiliza NFC para efectuar el pago presencial, si no que genera un código que debe ser escaneado o introducido
Análisis de tecnologías y sistemas para el pago con móvil
24
por el dependiente del establecimiento en su servidor.
Por lo general, las aplicaciones móviles financieras pueden permitir realizar otras gestiones, proporcionando
servicios de valor añadido al cliente, como la consulta de movimientos, dar de baja tarjetas, modificar el valor
del PIN, o realizar transferencias de móvil a móvil de forma inmediata (algunas de ellas, como Bankia, Sabadell,
BBVA, Bankinter, EVO e Imaginbank, incluyen Bizum, mientras que ING Direct dispone del servicio Twyp).
2.6.3 Soluciones de las operadoras
Las tres principales operadoras de nuestro país también disponen de aplicaciones de pago móvil:
Orange Cash
Los clientes de esta operadora podrán utilizar el servicio de pago móvil integrado en esta aplicación si disponen
de tarjeta SIM con NFC (que la compañía ofrece de manera gratuita) y un smartphone compatible (con sistema
operativo Android). En la aplicación es necesario introducir manualmente los datos sensibles de las tarjetas
físicas que se deseen asociar al servicio para operar con TPV contactless.
Vodafone Wallet
La compañía se unió a la revolución de los pagos móviles en 2014. Esta aplicación sólo está disponible para
Android y funciona vía NFC, pudiendo añadir tarjetas o una cuenta de PayPal.
Movistar
Movistar permite el pago móvil vía NFC o bien como Orange, a través de tarjetas SIM NFC, que también oferta
en los distribuidores, pero únicamente para los transportes públicos de Valencia y Málaga. De momento, no
ofrecen una solución para pagos en general como los anteriores.
2.6.4 Conclusiones
Como se puede percibir, han sido muchos los proyectos que se han lanzado en paralelo y con diferente grado de
interoperabilidad para llevar a cabo el pago, ya que no todas las aplicaciones funcionan en todos los dispositivos
móviles, ni en todos los comercios, ni con todas las tarjetas de todos los bancos. Este hecho ha supuesto una
barrera para la adopción global del nuevo método de pago, siendo un hándicap para el despliegue masivo de los
dispositivos móviles como medio transaccional. Como ninguno de ellos ha cuajado de forma sustancial, ha sido
imposible avanzar en el proceso de convergencia.
2.7 Regulación del pago móvil
Para facilitar la interoperabilidad y garantizar la calidad y seguridad de los servicios, existen diversas
entidades que están desarrollando recomendaciones y normativas de estandarización:
Consejo Europeo de Pago (EPC: European Payment Council) es un organismo privado formado por bancos
europeos cuya misión es coordinar y facilitar la toma de decisiones en el ámbito de pagos. El objetivo inmediato
25
25 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
actual del es promover y dar soporte para la implantación de la Zona Única de Pagos en Euros (SEPA: Single
Euro Payments Area).
Asociación GSM (GSMA) es un organismo que representa los intereses a nivel mundial (con presencia en 220
países) de las compañías del sector de las comunicaciones móviles, y que agrupa unos 800 operadores de redes
móviles y más de 200 empresas proveedoras de equipos, sistemas, servicios y consultoría.
Smart Card Alliance es una organización multisectorial sin fines de lucro, que trabaja para estimular la
comprensión, adopción, uso y aplicación generalizada de la tecnología de tarjetas inteligentes, principalmente
en EEUU y otros paises americanos. La alianza invierte en la educación sobre los usos apropiados de la
tecnología para la identificación, pago y otras aplicaciones, y aboga por el uso de la tecnología de tarjetas
inteligentes de una manera que proteja la privacidad y mejore la seguridad e integridad de los datos.
NFC Forum fue formado para promover el uso de la tecnología Near Field Communication mediante el
desarrollo de especificaciones, garantizando la interoperabilidad entre los dispositivos y los servicios, y
educando al mercado sobre la tecnología NFC. Creado en 2004, el foro cuenta con 190 miembros. Los
fabricantes, desarrolladores de aplicaciones, e instituciones de servicios financieros trabajan juntos para
promover el uso de la tecnología NFC en electrónica de consumo, dispositivos móviles, y PC, entre otros.
EMVCo compañías Europay, MasterCard y Visa fundaron con el propósito de desarrollar especificaciones
para transacciones de pago seguras
GlobalPlatform es una asociación multisectorial sin ánimo de lucro y cuyo objetivo es identificar, desarrollar
y publicar especificaciones que facilitan el despliegue y la gestión segura e interoperable de múltiples
aplicaciones integradas en la tecnología de chips.
Consejo de Normativas para la Seguridad del Sector de Pagos con Tarjeta es un foro mundial abiertocreado
en 2006 fundado por American Express, Discover Financial Services, JCB International, MasterCard, y Visa
Inc. Y es responsable del desarrollo, la gestión, la educación y el conocimiento de las normativas de seguridad
en el ámbito de los medios de pago con tarjeta. Estas normas incluyen el Estándar de Seguridad de Datos (PCI
DSS), el Estándar de Aplicaciones de Pago (PA-DSS) y los requisitos para el PIN de transacciones seguras
(PTS). Los cinco fundadores del consejo (American Express, Discover Financial Services, JCB International,
MasterCard, y Visa Inc.) han acordado incorporar la normativa PCI8 para los requisitos técnicos de cada uno de
sus programas de cumplimiento de seguridad de datos.
2.8 Perspectiva de los pagos móviles
El mercado de los servicios de pago por móvil se encuentra en una fase de definición del modelo inicial y
desarrollo posterior hacia el modelo final. Por lo tanto, es necesario reflexionar sobre las bases en las que se
asienta el modelo para asegurar que dicha evolución permitirá cumplir la expectativas de los clientes, asegurando
la viabilidad de los modelos de negocio de las empresas que contribuyen en la cadena de valor.
Para dinamizar esta reflexión se plantean los siguientes atributos que, desde una perspectiva centrada en
el cliente, son imprescindibles para la adopción de los nuevos servicios y el desarrollo pleno del mercado
La estrategia para el desarrollo de estos nuevos servicios, debe plantearse desde la perspectiva de los
clientes, asegurando los atributos mínimos que se describen en la tabla 2.2 que garanticen su aceptación
con unos niveles de calidad y precio razonables
Análisis de tecnologías y sistemas para el pago con móvil
26
Tabla 2–2 Atributos de un sistema de pagos móvil.
Atributos Pagos Móviles
Descripcion
Atributos Pagos Móviles
Seguridad
Los datos de identificación y claves de los clientes, así como
las transacciones, deben ser seguras, utilizándose
mecanismos de encriptación de extremo a extremo que
garanticen la confidencialidad.
Los procesos de tratamiento de información deberán estar
certificados y sujetos a auditorías periódicas.
Transparencia y
confidencialidad
Los usuarios de los servicios deberán tener capacidad de
control y acceso a la información personal y transacciones
que manejan los proveedores de los servicios, de tal forma
que se asegure el grado de confidencialidad que los usuarios
requieran
Universalidad del servicio
Los medios de pago por móvil deberán ser aceptados de
forma generalizada en cualquier tipo de entidad comercial
que acepte tarjetas.
No debe existir umbral mínimo de gasto.
La emisión de tarjetas de pago a débito no podrá denegarse a
ningún usuario
Portabilidad
Los usuarios podrán portar sus servicios de pago o
identificación de un operador móvil a otro de forma
inmediata y sin coste adicional, al igual que se realiza
actualmente para el servicio telefónico móvil.
Para el usuario no será necesario volver a reactivar o
contratar los servicios de pago que ya estuviera disfrutando.
Simplicidad y consistencia
El interfaz de acceso para la configuración de los medios de
pago e identificación deberá ser simple para que cualquier
usuario, independientemente de sus conocimientos técnicos,
sea autosuficiente en la puesta en marcha de los servicios.
Los procesos y funciones básicas deberán ser homogéneas e
independientes del proveedor de servicios, dado que en caso
27
27 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
contrario pueden inducir a los usuarios a errores en su
utilización
Accesibilidad y fiabilidad
La cobertura geográfica del servicio deberá ser máxima, por
lo que será necesario que existan acuerdos entre los
operadores móviles para maximizar la disponibilidad del
servicio tanto en exteriores como interiores.
Los proveedores de servicios de pago deberán proporcionar
acuerdos de nivel de servicio que incluyan indicadores de
disponibilidad del sistema y del tiempo de respuesta de las
operaciones.
Servicios de valor añadido
Los servicios finales de monedero electrónico tendrán una
funcionalidad básica común sobre la que se podrán definir
servicios de valor añadido diferenciales (registro de
operaciones, alarmas de uso, análisis de gasto, etc.).
Servicio gratuito usuarios
La utilización de los servicios de pago por móvil no estará
sujeta a comisiones para los usuarios.
29
3 ARQUITECTURA DEL SISTEMA DE PAGO MÓVIL
n este capítulo presentaremos la arquitectura de la solución propuesta, como modelo unificado en
esquemas de pago presenciales o a distancia, dirigida a todo tipo de clientes que quieran consumir este
servicio de ‘Pago Móvil’ a través de los módulos que la conforman y las tecnologías utilizadas para su
implementación.
3.1 Introducción
Se consideran los siguientes aspectos técnicos para la arquitectura de la plataforma
A nivel de protocolos de comunicación
La plataforma soportará los siguientes protocolos:
o HTTP/HTTPS. A través de este protocolo se maneja toda la información que ingrese al sistema
o ISO 8583 (PRICE). A través de este protocolo se realiza las transacciones con los Autorizadores y
se comunican las entidades bancarias con el procesador de pagos.
o ISO 20022
o SOAP
A nivel de almacenamiento de datos
La plataforma debe soportar el manejo de base de datos SQL, las cuales permiten el manejo de gran cantidad de
datos a mayor velocidad.
A nivel de manejo de información
La plataforma debe poder procesar las transacciones de forma segura.
A nivel de balanceo de carga
La plataforma de poder desplegarse en uno o más servidores sin que esto afecte la configuración y el manejo de
E
Arquitectura del sistema de pago móvil
30
transacciones. Esto permitirá que si el sistema crece, no se verán afectado el sistema desplegado.
A nivel de despliegue
La plataforma debe poder funcionar en la nube, así como en cualquier centro de datos, sin que eso afecte la
implementación y administración del sistema.
3.2 Solución propuesta
La solución consiste en un nuevo canal de pago seguro basado en NFC, en el cual los usuarios del servicio,
dispondrán de una aplicación instalada en el teléfono móvil, que les permitirá realizar pagos con tarjeta a través
de su teléfono, mediante enlace a un servidor Web, el cual previa autenticación del usuario en una base de datos
de uso del servicio, enlazará con la entidad de procesamiento de transacciones (procesador de pago) que enrutará
la petición de pago a la entidad bancaria emisora de la tarjeta en función del PAN recibido en la solicitud (los
seis primeros dígitos del PAN constituyen el BIN que identifica el banco emisor o propietario de la tarjeta) a
través de la red de pago y este después de comprobar los fondos en la cuenta asociada a dicha tarjeta, responderá
al centro procesador del pago si se autoriza o por el contrario se deniega la petición, procediendo o no a cargar
el importe de la transacción en la cuenta del cliente y a abonar dicho importe en la cuenta del beneficiario del
pago realizado
Los tres escenarios de pago móvil que pueden darse son:
- Pago móvil P2P – transferencia entre usuarios
- Pago móvil en el comercio de forma presencial
- Pago móvil en el comercio electrónico (m-commerce)
A continuación se presenta la arquitectura de la solución aplicable a todos estos escenarios. El diagrama de flujo
de la propuesta se representa en la Figura 3.1. La numeración de las flechas secuencia las comunicaciones que
tienen lugar en el transcurso de un pago móvil entre usuarios del servicio propuesto.
Figura 3-1. Propuesta de solución para el pago móvil.
31 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
1. El usuario quiere realizar un pago móvil a un beneficiario del cual conoce solo su número de teléfono, no
disponiendo de los datos de la cuenta a la que va a realizar la transferencia.
A través de la aplicación instalada en su teléfono móvil y después de haber sido dado de alta en el servicio,
previa autenticación en el mismo, puede proceder a realizar pagos a cualquier cliente dado de alta también en el
servicio con solo conocer su número del teléfono móvil y con cualquiera de sus tarjetas, no teniendo que ser
necesaria usar la registrada en el sistema y asociada al número de teléfono. El usuario, contraseña y número
identificador del equipo son los datos que se utilizan para la autenticación en la base de datos a la que se conecta
la aplicación servidor.
2. El cliente teclea número de teléfono móvil que se transmitirá al centro procesado de pagos desde el servidor
del servicio propuesto y tras confirmar que hay un cliente registrado en el sistema con ese número de teléfono.
3. El centro procesador del pago (Redsys), solicitará en la pantalla del dispositivo móvil, el tecleo de importe
del pago (solicitud de los datos del pago) y que se aproxime la tarjeta con la que se quiere realizar dicho pago,
que es leída mediante tecnología NFC.
4. La aplicación del móvil transmite los datos recuperados de la tarjeta y la información de la operación cifrada
al centro procesador de transacciones de pago
5. El centro procesador analiza el PAN recibido y envía la operación a la entidad emisora correspondiente, la
cual verifica los datos de la transacción y aplica la lógica de negocio pertinente (comprobando la disponibilidad
de fondos en la cuenta del titular de la tarjeta, que ésta no presente ningún bloqueo por impago, etc),
proporcionando respuesta a Redsys con la resolución de la operación.
6. Redsys registra la operación y notifica la resolución al cliente a través del servidor. En el servidor Web del
sistema de pago móvil no se registrarán datos de las operaciones para que no tenga que estar certificado ni
cumplir y renovar las auditorías relacionadas con las certificaciones PCI DSS
7. El cliente recibe la confirmación de que su pago ha sido o no realizado.
8. El procesador de pagos comunica a la Entidad del usuario beneficiario de ese pago o comerciante, los datos
del pago para el abono en la cuenta del beneficiario.
3.3 Tecnologías empleadas
3.3.1 NFC
Near Field Communication (NFC), es una tecnología de comunicación inalámbrica de corto alcance y alta
frecuencia (13,56 MHz, banda en la que no es necesario disponer de licencia) basado en la técnica de RFID,
permite el flujo bidireccional de datos a una distancia teórica de 10 cm, pero en la práctica no mayor a 4 cm.
Apareció como una opción de comunicación inalámbrica entre dispositivos móviles a inicios del presente siglo,
y últimamente se ha convertido en una tecnología por excelencia que se está implementando en todos los
modelos de teléfono móvil.
Presenta ventajas en cuanto a la velocidad de comunicación, el coste, la robustez, la provisión de servicios y la
Arquitectura del sistema de pago móvil
32
convergencia de su uso, en comparación con el resto de conexiones existentes disponibles en un teléfono móvil.
Por este motivo, cada vez son más los dispositivos que integran esta funcionalidad sin limitar su uso, permitiendo
explorar a los desarrolladores el potencial que ofrece esta plataforma abierta para la creación de nuevas
aplicaciones.
Es importante mencionar los modelos de funcionamiento que presenta NFC, ya que existen dos técnicas de
operatividad, que se rigen en función de la fuente que suministra la energía para el intercambio de información
entre dos dispositivos. Estos son:
Pasivo
En este modo de funcionamiento, uno de los dispositivos no utiliza suministro interno de energía, sino que,
cuando se aproxima lo suficiente al otro elemento (activo), se aprovecha de su campo electromagnético gracias
al acoplamiento inducido (ver Figura 3-2). De esta forma, el elemento pasivo puede obtener la energía de la
modulación de la carga y transferir su respuesta. Este es el modo de funcionamiento por excelencia que utilizan
las tarjetas inteligentes. Cabe destacar que los dispositivos móviles cuando emulan el comportamiento de una
tarjeta (HCE) para llevar a cabo un pago móvil en un TPV, también utilizan este método.
Figura 3-2. Esquema NFC pasivo.
Activo
En este caso, ambos dispositivos obtienen la energía de forma interna, generando cada uno de ellos su propio
cambio electromagnético para la transmisión de los datos (ver Figura 3-3).
Figura 3-3. Esquema NFC activo.
33 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
El comportamiento operativo de los dispositivos NFC, viene determinado por el modelo de funcionamiento
descrito. La tecnología NFC destaca por ser flexible y eficiente, presentando hasta tres configuraciones distintas
de trabajo, según el rol que desempeñan los dos actores partícipes en la comunicación. A continuación, se
detallan las tres vertientes existentes (ver Figura 3-4), definidas y particularizadas desde la perspectiva de un
dispositivo móvil que incorpora la funcionalidad NFC.
Emulación de la tarjeta inteligente: En este modo de funcionamiento, el dispositivo NFC se comporta y
actúa como si se tratase de una tarjeta inteligente sin contactos, siendo de cara a un lector o a un TPV, como
un elemento pasivo del que se puede extraer la información de interés mediante comandos de lectura. Esta
configuración es compatible con características de seguridad avanzadas, y por lo tanto es utilizado para
transacciones financieras, control de acceso y gestión de entradas. El ejemplo por excelencia de la
empleabilidad de este comportamiento, es el pago móvil en un TPV en soluciones de comercio presencial
Peer-to-Peer: Esta arquitectura posibilita la sincronización instantánea y el intercambio de información
entre dos dispositivos activos que utilicen NFC. Por ejemplo, dos teléfonos móviles podrían establecer este
tipo de comunicación con el fin de intercambiar archivos, contenido digital o configurar el enlace para otra
tecnología inalámbrica. La tecnología NFC no tiene como fin la transferencia masiva de datos, pero sí que
presenta alta velocidad para la gestión del enlace (o emparejamiento) entre dos dispositivos que se deseen
conectar a través de redes inalámbricas de mayor ancho de banda, como Bluetooth o WiFi.
Modo Lectura/Escritura: Esta configuración permite que el dispositivo NFC activo sea capaz de transmitir
información y leer el contenido de las tarjetas sin contacto y de las etiquetas NFC. El conjunto de las tarjetas
que muestran interoperabilidad con los dispositivos NFC, se definen en las especificaciones publicadas por
NFC Forum. Este organismo se encarga de emitir especificaciones para asegurar la estandarización entre
dispositivos y servicios, formando al mercado (fabricantes, desarrolladores de aplicaciones, instituciones
financieras, consorcios de transporte, etc.) sobre la tecnología NFC. En relación a las tarjetas compatibles,
se definen, entre otros formatos, las especificaciones basadas en ISO 14443 Tipo A y B (correspondientes
a los estándares internacionales de tarjetas inteligentes sin contacto). El ejemplo del uso de este modo de
funcionamiento es la utilización del protocolo EMV Contactless para emprender la comunicación entre el
dispositivo móvil y la tarjeta inteligente sin contactos.
Figura 3-4. Tipos de funcionamiento del dispositivo NFC.
Cabe destacar, que existen cinco etapas presentes en toda comunicación NFC, independientemente del modo de
comportamiento establecido.
Arquitectura del sistema de pago móvil
34
Descubrimiento: En esta fase los dispositivos implicados inician la fase de rastreo, con su posterior
reconocimiento.
Autenticación: Los dispositivos se verifican entre ellos, para comprobar si están autorizados o si deben
establecer algún tipo de cifrado adicional en la comunicación.
Negociación: En esta etapa se definen parámetros comunes para entablar la comunicación, como la
velocidad de transmisión, la identificación del dispositivo, el tipo de aplicación, el tamaño de los datos,
y si procede, también definen la acción a desencadenar.
Transferencia: Una vez negociados y adaptados los parámetros para la comunicación, se procede a
realizar el intercambio o la lectura de los datos.
Confirmación: El dispositivo receptor confirma el estado de la comunicación y de la transferencia de
la información.
A pesar de que la tecnología NFC se limita a un rango de comunicación de tan solo 10 cm teóricos y no
superir a 4cm en la práctica, existen algunas amenazas de seguridad que se que se podrían dar al
momento del intercambio de información entre dispositivos NFC, entra ellas destacan:
Interceptación de comunicaciones (Eavesdropping / sniffing): En este tipo de amenaza, un
atacante sería capaz de interceptar y leer la información transmitida entre los dispositivos.
Modificación de datos (Data Modification): Un atacante, en lugar de únicamente escuchar,
podría modificar los datos que se transmiten entre los dispositivos NFC.
Ataque de hombre en el medio (Man-in-the-Middle): En teoría un ataque poco probable, dada la
distancia a la que se debe realizar la transferencia de información entre los dispositivos, sin
embargo, no se la descarta como una posible amenaza para la integridad.
Estafa (Phishing): Un atacante podría modificar una etiqueta para que se redirija a sitios
fraudulentos, para robar la información del usuario.
Clonación de tickets (Ticket cloning): Un ticket generado en un sistema NFC podría ser clonado
y compartido con otros atacantes, antes de ser verificado.
3.3.2 Protocolo HTTP
El Protocolo de Transferencia de HiperTexto (Hypertext Transfer Protocol) es un protocolo cliente-servidor que
articula los intercambios de información entre los clientes Web y los servidores HTTP. Desde el punto de vista
de las comunicaciones, está soportado sobre los servicios de conexión TCP/IP, y funciona siguiendo el esquema
petición-respuesta entre un cliente y un servidor: un proceso servidor escucha en un puerto de comunicaciones
TCP (por defecto, el 80), y espera las solicitudes de conexión de los clientes Web. Una vez que se establece la
conexión, el protocolo TCP se encarga de mantener la comunicación y garantizar un intercambio de datos libre
de errores. HTTP se basa en sencillas operaciones de solicitud/respuesta. Un cliente establece una conexión con
un servidor y envía un mensaje con los datos de la solicitud. El servidor responde con un mensaje similar, que
contiene el estado de la operación y su posible resultado. Todas las operaciones pueden adjuntar un objeto o
recurso sobre el que actúan; cada objeto conocido por su URL.
35 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
3.3.3 Protocolo SSL
El protocolo HTTPS la versión segura del protocolo HTTP. HTTPS utiliza un cifrado basado en el protocolo
Secure Socket Layers (SSL). Este es un protocolo que se sitúa entre el protocolo de capa de red (Ej.: TCP) y el
protocolo de la capa de aplicación (Ej.: HTTP). SSL proporciona mecanismos para establecer una comunicación
fiable entre un cliente y un servidor. Facilita la autenticación y privacidad de la información en internet mediante
el uso de la criptografía. Sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el
cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves
públicas para los clientes. El SSL se ejecuta en una capa entre los protocolos de aplicación como el Hypertext
Transfer Protocol (HTTP). Proporciona sus servicios de seguridad utilizando la criptografía de llave pública y
privada. Para el intercambio de los datos entre el servidor y el cliente, utiliza algoritmos de cifrado simétrico.
Para la autenticación, usa el algoritmo de cifrado de clave pública (RSA).
El protocolo HTTPS es la versión segura de HTTP. Permite el cifrado y autenticación digital igual que SSL. La
diferencia consiste, en que HTTPS es un protocolo de nivel de aplicación, es decir, que extiende el protocolo
HTTP por debajo. HTTPS es usado para asegurar páginas World Wide Web (www, para aplicaciones de e-
commerce, utilizando certificados de clave pública para verificar la identidad de los participantes.
3.3.4 Protocolo PRICE ISO 8583
El protocolo ISO 8583 es el estándar de la International Organization for Standardization (ISO), para
transacciones financieras con mensajes originados en una tarjeta; estándar para sistemas que intercambian
transacciones electrónicas realizadas por los usuarios de tarjetas de crédito. Cuando se genera una transacción,
normalmente proviene de un punto de venta (TPV) o un cajero automático y ésta viaja a través de una red hacia
el sistema que emitió la tarjeta para obtener la autorización financiera correspondiente. La transacción contiene
información como el número de tarjeta, su caducidad, cvv, número de comercio, el importe y moneda, etc. Las
transacciones pueden ser compras, retiros, depósitos, reintegros, pagos y transferencias entre cuentas. El ISO
8583 establece un formato de mensaje y un flujo de comunicación para que diferentes sistemas puedan
intercambiar estas transacciones. En general todas las redes de tarjetas se basan en este protocolo para poder
transaccionar. Aunque el ISO 8583 define un standard común, normalmente cada red o sistema adapta el
standard para su propio uso con campos modificados a sus necesidades particulares (este protocolo para este
proyecto se ha adaptado).
Un mensaje ISO 8583 consta de manera general de los siguientes elementos: un Header (cabecera), Application
Data (datos de la aplicación) y un Trailer. El header y el trailer envuelven la application data y son utilizados
para ruteo e integridad del mensaje. La application data está formada por un Message Type Indicator (MTI),
BIT MAP (indica cuáles elementos están presentes) y el ISO Data Element (los campos del mensaje) Application
Data. # Campo Descripción 0 MTI Message Type Indicator. 1 - Bitmap 64 (o 128) bits, indica la presencia o
ausencia de otros campos. 2 - 128 Otros campos especificados en el bitmap. Header Message Type Indicator
(MTI). Este es un campo numérico de 4 dígitos que clasifica la función de alto nivel del mensaje. Un MTI
incluye la versión ISO 8583, la clase (Message Class), la función (Message Function) y el origen del mensaje
(Message Origin). Posición 1. Indica la versión del estándar ISO 8583.
3.3.5 Web Services
Un servicio web es un conjunto de estándares y protocolos que sirve como medio de comunicación entre
aplicaciones web. El protocolo en que típicamente se trabaja es HTTP y HTTPS. Un web service usa un sistema
de mensajería estándar como XML o JSON y no está ligado a ningún sistema operativo o lenguaje de
programación. En términos más técnicos, un web service, es un sistema de software distribuido cuyos
componentes pueden ser mostrados y ejecutados en distintos dispositivos. El web service recibe las peticiones
del cliente y genera respuestas. Los web services por lo regular pueden estar basados en dos metodologías:
SOAP o REST. En este trabajo solo expondremos SOAP ya que es el utilizado.
Arquitectura del sistema de pago móvil
36
3.3.6 SOAP (SIMPLE OBJECT ACCESS PROTOCOL)
Es el protocolo estándar de los Web Services. Este protocolo está basado en XML y no se encuentra casado a
ninguna plataforma o lenguaje de programación. También es el protocolo más aceptado por la mayoría de las
plataformas. Si bien SOAP es un protocolo, éste no es exactamente un protocolo de comunicación entre
mensajes como lo es el HTTP. SOAP básicamente son documentos XML y se necesita otro protocolo para la
transmisión de estos documentos como el protocolo HTTP o cualquier otro capaz de transmitir textos. Los
mensajes SOAP están compuestos por un tag principal llamado Envelope, que está dividido en una cabecera o
Header y en un cuerpo o Body
El uso de los web services facilita la reutilización de funciones de una aplicación en distintas plataformas o
lenguajes ya sea para un uso personal en distintos proyectos, para comercializarlos o adquirir prestaciones de
terceros. Se puede referenciar funciones que se estén ejecutando en otra computadora o servidor sin importarnos
en qué están programados ni en qué plataforma están corriendo. Uno de los ejemplos más comunes del uso de
los web services se encuentra en los sitios web de comercio electrónico, los cuales hacen uso de un Web Service
para validar los datos de las tarjetas de crédito de sus clientes. Normalmente este Web Service es provisto por
algún banco o entidad financiera que actúa como intermediario entre el comercio y las tarjetas de crédito.
3.3.7 ANDROID
Android es un sistema operativo inicialmente desarrollado por Android Inc. en el 2005 y está basado en el kernel
de Linux. Actualmente, el desarrollo, enfoque y las publicaciones de este SO están a cargo de Google y del Open
Handset Alliance (OHA). Este sistema operativo proporciona todas las interfaces necesarias para desarrollar
aplicaciones que accedan a las funciones del teléfono de una manera sencilla en el lenguaje Java con el uso del
Android SDK (Android Software Development Toolkit)
Es el sistema operativo con mayor presencia dentro del mercado móvil y tiene un gran respaldo por la
comunidad de desarrolladores y esto gracias a que se trata de un software libre.
3.4 Arquitectura general del sistema
El sistema propuesto presenta una arquitectura distribuida cliente/servidor, de tres capas:
La Capa de Presentación constituye la interfaz de usuario que se visualiza en la pantalla del teléfono
móvil del usuario del sistema, capa que permite obtener la información sobre los usuarios, enviar la
información del usuario a los servicios de la Capa de Negocios para su procesamiento y recibir y
presentar los resultados del procesamiento de los servicios de negocios.
La Capa de Negocios es la responsable de recibir la información proveniente de la Capa de Presentación,
aplicar la lógica de negocio y de interactuar con el servidor de datos para ejecutar las operaciones,
automatizar (envío y recepción de información) y de enviar el resultado procesado al nivel de
presentación.
La Capa de Datos incluye los sistemas de administración de bases de datos relacionales y es la
responsable de la integridad, almacenamiento y recuperación de los datos del mismo
Los módulos que la conforman:
37 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Figura 3-5. Arquitectura general del sistema.
Se describe a continuación los elementos que constituyen el sistema mostrado en la figura anterior.
3.4.1 Módulo de Aplicación Cliente
Hace referencia a la aplicación móvil (app), que se descargará al teléfono móvil, que cumple la función de
brindar la interface al usuario, que permita de una manera sencilla y segura la comunicación con la aplicación
servidor para la realización de los pagos móviles.
Para comunicación con el servidor, el teléfono móvil iniciará el establecimiento de una conexión segura, para lo
cual recibirá el certificado del Servidor Web el cual estará firmado por una Entidad emisora de certificados
electrónicos y una vez validado dicho certificado, se establecerá conexión segura SSL a través de HTTPS entre
el teléfono móvil y el servidor Web del servicio.
Es el momento en el que el usuario a través de la aplicación instalada en el teléfono móvil envía los datos para
autenticación en el sistema que serán validados en la base de datos y si el usuario es quien dice ser, se le
solicitarán los datos del pago en la pantalla del dispositivo móvil y que se aproxime la tarjeta con la que se quiere
realizar dicho pago, que es leída mediante tecnología NFC. Estos datos viajarán cifrados conexión vía TCP/IP
al servidor de procesamiento de la transacción del pago.
Para realizar la conexión del teléfono móvil al servidor Web del servicio de Pago Móvil, primero se hará la
conexión a la red del operador de telefonía al que está subscrito el teléfono móvil, el cual a su vez permitirá
enviar los datos a través de Internet.
3.4.2 Módulo de Aplicación Servidor
El Módulo de Aplicación Servidor, se compone de varios sistemas: una aplicación Web que cumple con la
función de implementación de la lógica de negocio, de un servidor de base de datos SQL Server que almacena
los datos de los usuarios del servicio y una relación de las transacciones realizadas por éstos. La información de
la transacción completa se registrará en la base de datos de las entidades bancarias y del procesador de pago,
siendo en esta base de datos un registro de si la transacción se ha procesado correctamente o no y qué usuario
Arquitectura del sistema de pago móvil
38
ha sido el desencadenante de la misma, para llevar un histórico en el sistema y conocer el volumen de servicio
proporcionado y para la administración sencilla de la base de datos, contará con un sistema administrador para
dicha base de datos.
El servidor de base de datos guardará la información de los usuarios del servicio. En esta base de datos no se
guardarán datos bancarios de los usuarios adheridos al sistema, tales como PAN, fecha caducidad de tarjeta, el
CVV ó código de verificación. Estos se registrarán en el alta de usuario del servicio dentro de los servidores de
Redys de forma segura. Tampoco se registrarán datos sensibles de las transacciones realiazadas, ya que al igual
que los datos bancarios, estas operaciones se registrarán en la base de datos del procesador de pago y se enviarán
por lotes a las correspondientes entidades bancarias para el apunte de los cargos y abonos en las cuentas de
cliente. Esto es así para que el proveedor de este servicio de pago no necesite certificarse en la PCI PSS
3.4.3 Módulo de sistema de Procesamiento de Transacciones de Pago
Este módulo lo conforman las Entidades bancarias y sus sistemas core de almacenamiento y procesamiento de
peticiones, el Procesador de Pago y el Switch Autorizador de las transacciones, que se encuentran conectados a
través de las redes de medios de pago. Dada la importancia y complejidad de este módulo, se describe en el
capítulo 4.
3.5 Arquitectura functional
Figura 3-6. Arquitectura funcional del sistema.
Se observa que en los escenarios donde se quiere aplicar el sistema de pagos, los stakeholders que participan
39 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
son:
Usuario: Usuario del servicio de ‘Pago móvil’
Entidad bancaria: Banco de emisor y receptor de la operación de pago
Procesador del servicio de Pago - Centro procesador de transacciones financieras: Encargado de
gestionar la interconexión entre las distintas entidades financieras que participan en una transacción y
conectar en el resto de elementos involucrados en el pago. Tiene la misión de comprobar la fiabilidad de la
transacción, la verificación de los datos del cliente y la autorización por parte de la entidad emisora. En
España existen las procesadoras de CECA y Redsys.
Proveedor del servicio de pago movil propuesto de ‘Pago Móvil’: Encargado de administrar el sistema
a nivel servicio ofrecido y de conectar al usuario con el procesador del servicio de pago.
Red de pago: Sistema constituido por diferentes entidades y una procesadora de pago que posibilita y
favorece la comunicación de las transacciones financieras.
Figura 3-7. Esquema de red financiera en España.
A continuación se muestran los casos de usos considerados más relevantes en el sistema, mostrándose sus flujos
de ejecución.
1. Proceso de registro de usuario nuevo en el sistema.
2. Proceso de baja de usuario en el sistema
3. Proceso de inicio de sesión.
4. Operativa de registro de nueva tarjeta en el servicio.
5. Operativa de solicitud de baja de una tarjeta en el servicio.
6. Verificación de disponibilidad de la tarjeta en el servicio.
7. Operativa de pago: Transacción Aprobada o Denegada.
8. Operativa de pago: Transacción Cancelada por el usuario
9. Operativa de pago: Timeout de usuario vencido.
10. Operativa de pago: Número de teléfono no dado de alta en el servicio.
3.5.1 Proceso de registro de usuario nuevo
Un nuevo usuario se descarga la aplicación de pago, y tras la instalación de la misma, debe registrarse en el
servicio a través de la app para poder hacer uso del nuevo método de pago ofrecido.
Arquitectura del sistema de pago móvil
40
El flujo teórico del proceso es el siguiente. Una vez que el cliente introduce los datos requeridos para una nueva
alta en el sistema, se manda de forma automática una petición desde el dispositivo móvil al servidor de la
aplicación del Proveedor del servicio de pago móvil. De forma prácticamente simultánea, el dispositivo móvil
envía la información del cliente necesaria para la solicitud de una alta nueva al centro procesador. Dicho
procesador almacena los datos recibidos en un directorio seguro destinado a tal fin, y responde a la aplicación
del dispositivo móvil indicando si el usuario ha sido o no registrado. La Figura 3.8 muestra el diagrama de flujo
del proceso de registro de nuevo usuario y la participación de cada uno de los stakeholders en él.
Figura 3-8. Proceso de registro de usuario nuevo.
3.5.2 Proceso de baja de usuario
Este es el caso de un usuario que ya no quiera disfrutar del servicio propuesto de Pago móvil, solicita a través
de la aplicación su intención de darse de baja del servicio.
El flujo del proceso es el siguiente. Desde el menú de la aplicación móvil se posibilita que el usuario tenga la
opción de eliminar su cuenta y todos los datos vinculados a la misma. La operativa está representada en la Figura
3-9.
41 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Figura 3-9. Borrado de usuario en el servicio.
3.5.3 Proceso de inicio de sesión
El usuario ya ha sido dado de alta en el sistema y quiere establecer inicio de sesión porque quiere usar el servicio.
Una vez que el usuario ha sido creado, el inicio de sesión consiste en la inserción del Identificador de usuario y
de la password (establecida previamente por el cliente) en la aplicación móvil.
El centro servidor web proveedor del servicio, valida la contraseña enviada con la que tiene guardada en su base
de datos. Si la clave introducida por el cliente es correcta, se permite al usuario acceso a los servicios de la
aplicación. Si por el contrario, es incorrecta, se deniega la petición y no se permite al usuario ingresar en la
aplicación. Se representa el diagrama funcional en la Figura 3-10.
Arquitectura del sistema de pago móvil
42
Figura 3-10. Proceso de inicio de sesión.
3.5.4 Proceso de registro de nueva tarjeta
El usuario quiere registrar una nueva tarjeta con la que podrá realizar pagos a través del móvil. El usuario desde
la aplicación del móvil puede asociar o vincular diversas tarjetas de diferentes bancos a este servicio, con el fin
de que en la operativa de comercio electrónico pueda completar con éxito el pago mediante el uso de las mismas.
Esta opción está disponible en las opciones de menú de la app instalada en el móvil y tras la selección de nueva
tarjeta, el usuario debe aproximar su tarjeta contactless al lector NFC del dispositivo móvil.
De forma automática se envía una solicitud de tarjeta nueva al centro procesador, que tras un primer
procesamiento interno, redirecciona la petición a la entidad emisora de la tarjeta. El banco comprueba la
veracidad de los datos (dicha pertenece a uno de sus clientes y está operativa) y envía un Ok al centro procesador
de pagos y éste envía un SMS con un código de validación de tarjeta al número de teléfono que tiene registrado
en el alta del usuario en el servicio (el usuario está dado de alta en el servidor de base de datos del proveedor del
servicio y en el centro procesador del pago, en los sistemas de Redsýs) que puede coincidir o no con el número
del dispositivo móvil desde el cual el usuario desea utilizar la aplicación. El cliente inserta la contraseña recibida
en la aplicación, y el centro procesador valida el código de seguridad, actualizando el directorio de tarjetas dadas
de alta en el servicio si el proceso ha finalizadocon éxito. Este proceso se muestr en la Figura 3-11.
43 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Figura 3-11. Registro de nueva tarjeta en el servicio.
3.5.5 Proceso de solicitud de baja de tarjeta
El usuario quiere dar de baja una de sus tarjetas dadas de alta en el servicio. Desde una de las opciones de menú
de la aplicación móvil, se puede solicitar la baja de una tarjeta tras una vinculación previa temporal. El centro
procesador ante la recepción de esta solicitud, elimina todo registro de dicha tarjeta de su base de datos (ver
Figura 3-12).
Para los casos de extravío o robo de la misma, se habilitan otros canales de notificación de baja, como es la
propia comunicación por parte del titular a su entidad financiera, que denegará todas las transacciones efectuadas
con dicha tarjeta de forma análoga a la operativa presencial.
Arquitectura del sistema de pago móvil
44
Figura 3-12. Baja de tarjeta en el servicio.
3.5.6 Verificación de disponibilidad de la tarjeta en servicio
Desde una de las opciones del menú de la aplicación móvil se permite al usuario consultar si la tarjeta con la que
quiere realizar operaciones de pago móvil está dada de alta y disponible en el sistema. Para ello, el usuario
aproxima la tarjeta deseada al lector NFC del dispositivo móvil, que envía automáticamente la petición al centro
procesador de pago. Este consulta su base de datos y responde al usuario con la información solicitada (ver
Figura 3-13).
Figura 3-13. Verificación de disponibilidad de la tarjeta en el servicio.
45 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
3.5.7 Operativa de pago: Transacción Aprobada o Denegada
El usuario inicia sesión en el sistema y procede a realizar un pago móvil, de tal forma que inserta el número de
teléfono móvil al que quiere efectuar el pago en el formulario de la app habilitado para tal fin. Se estable conexión
entre el teléfono móvil del usuario y el servidor Web proveedor del servicio de Pago móvil que valida la
autenticación del usuario y envía estos datos para validación en el Centro Procesador de pago. El centro
procesador recibe la petición de pago y lleva a cabo una primera validación (autentica el sitio web del comercio
electrónico y comprueba que el número de teléfono insertado por el usuario corresponde a un cliente del
servicio).
De forma seguida envía un mensaje SMS con un código a la aplicación móvil del cliente. El usuario recibe la
notificación en su dispositivo móvil y lleva a cabo el procedimiento para completar el pago (datos de importe
de pago y datos de la tajeta con la que realizará el pago capturados mediante aproximación de la tarjeta
contactless al dispositivo móvil). El centro procesador obtiene la información de la tarjeta y procesa el pago,
redireccionando a la entidad financiera correspondiente la solicitud de autorización. La entidad aprueba o
deniega la petición en función de las condiciones de la cuenta corriente del cliente, tal y cómo sería el escenario
de comercio presencial o electrónico actual, notificando la resolución al centro procesador, que a su vez
comunica la decisión al comercio y al usuario. El diagrama completo teórico y funcional se muestra en la Figura
3-14.
Figura 3-14. Operativa de pago: Transacción Aprobada o Denegada.
Arquitectura del sistema de pago móvil
46
3.5.8 Operativa de pago: Transacción Cancelada por Usuario
El usuario puede cancelar una operación de pago en el transcurso de la operativa una vez que ha recibido la
notificación de que puede llevar a cabo el pago en su dispositivo móvil y antes de proceder a insertar los datos
para realizar éste. En este caso la tarjeta física y la entidad emisora no intervienen en la comunicación como
puede observarse en el flujo del proceso (Figura 3-15).
Figura 3-15. Transacción Cancelada por el usuario.
3.5.9 Operativa de pago: Timeout de usuario vencido
Si tras la recepción de la notificación por SMS para la realización del pago, el usuario no desencadena ninguna
acción (no cancela ni continua el pago), transcurrido un tiempo vence el timeoout que el servidor asigna al
usuario para completar el proceso.
Si esto ocurre, el centro procesador cancela la transacción en curso y notifica de esta circunstancia. En esta
operativa no interviene la tarjeta física ni la entidad financiera (ver Figura 3-16).
47 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Figura 3-16. Operativa de pago: Timeout de usuario vencido.
3.5.10 Operativa de pago: Número de teléfono no dado de alta en el servicio
El centro procesador recibe la petición del servidor Web del servicio que tras haber validado al usuario, valida
el número de teléfono recibido. Si dicho número corresponde a un cliente del servicio, continua con el pago. Si
por el contrario, no encuentra coincidencias en su base de datos de la aplicación, aborta directamente la
transacción (ver Figura 3-17).
Figura 3-17. Número de teléfono no dado de alta en el servicio.
Arquitectura del sistema de pago móvil
48
3.6 Modelo de datos
Como ya se había indicado anteriormente, en los servidores del sistema proveedor del servicio de Pago Móvil
se requiere de un medio que permita realizar el almacenamiento de los datos de los usuarios del servicio y de
todos los movimientos que estos realicen.
Para esto se diseñó una base de datos de la cual se muestra a continuación las tablas del servidor de datos del
sistema proveedor del servicio. La base datos de las entidades bancarias y del centro procesador de pago no se
especifican en este trabajo.
Las entidades existentes en el modelo de datos y sus correspondientes campos:
La nomenclatura para determinar el nombre de las Entidades es el siguiente:
Letra inicial T: Primera letra que identifica que es una tabla o entidad
XXXX: Nombre de la aplicación, en nuestro caso PAGM (de PAGo Móvil)
AAA: Tres letras de libre asignación que suelen estar relacionadas con el contenido de la tabla.
Destacar que en la definición de las Tablas es imprescindible el uso de campos de auditoria para obtener el OK
del departamento de Optimización DB2. Estos campos se utilizan principalmente para tener una trazabilidad de
las acciones que se realizan sobre los registros de la tabla.
Por otro lado indicar que tenemos cuatro tipos de formato para los campos de las tablas:
CHAR: Campo de tipo alfanumérico.
INTEGER: Campo de tipo numérico.
DATE: Campo de tipo fecha.
TIMESTAMP: Campo de tipo timestamp, almacena fecha, hora, minuto, segundo y milisegundo. Un
ejemplo de este formato es el siguiente: 2018-01- 01-01.00.00.000000.
Las Entidades en el sistema serán:
TPAGMUSU: Entidad de usuarios del servicio de pago móvil.
La tabla de usuarios contendrá toda la información personal relacionada con éste, lo cual quiere decir que se
incluirá en ella su identificador (usu_id), su nombre, su teléfono, su correo, su nombre de usuario para acceder
al servicio y su contraseña, que estará guardada en forma de hash, para evitar que un atacante pueda acceder a
las contraseñas si consigue acceder a esta tabla en la base de datos.
Los campos de esta tabla son:
Campos tabla TPAGMUSU Descripción
usu_id campo de tipo INT ,9(12) , para identificar al usuario dentro del sistema
usu_password
Campo de tipo CHAR, X(08), password, encriptada metódo HASH
49 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
usu_estado
campo de tipo CHAR , X(01), para almacenar el estado del usuario el
servicio
‘0’ Activo
‘1’ Bloqueado
‘ 3’ Dado de baja
usu_nombre campo de tipo CHAR , X(30), para almacenar el nombre de usuario del
servicio
usu_apellido1 campo de tipo CHAR , X(30), para almacenar el primer apellido de
usuario del servicio
usu_apellido2 campo de tipo CHAR , X(30), para almacenar segundo apellido de
usuario del servicio
usu_direccion campo de tipo CHAR , X(60), para almacenar el nombre de usuario del
servicio
usu_tipo
Campo de tipo CHAR, X(01), para almacenar tipo de cliente
‘0’ usuario cliente
‘1’ usuario comerciante
usu_intentos
Campo de tipo INT, 9(1) para número de intentos al sistema. Si se
producen tres intentos fallidos, se bloqueará el usuario (usu_estado) y no
podrá realizar pagos hasta que no cambie su estado
usu_telefono
Campo de tipo INT, 9(1) para almacenar el número de teléfono del usuario
del sistema
usu_email
campo de tipo CHAR , X(60), para almacenar email usuario del sistema
usu_fecalta
campo de tipo CHAR , X(10), para almacenar la fecha de alta en el sistema
usu_fecbaja campo de tipo CHAR , X(10), para almacenar la fecha de baja en el
sistema
usu_fecultmod campo de tipo CHAR , X(10), para almacenar la fecha de última
modificación en el sistema
usu_usuarumo campo de tipo CHAR , X(08), para almacenar usuario de ultima
modificación en el sistema
usu_timestamp Timestamp
Arquitectura del sistema de pago móvil
50
TPAGMTRA: Entidad de pago móvil Registro transacciones
La tabla TPAGMTRA contendrá toda la información de registro de transacciones, sin albergar información
sensible de los datos bancarios de los usuarios. Estos estarán registrados en el centro porcesador y en las
entidades correspondientes de la tarjeta del pago
Campos tabla TPAGMTRA Descripción
usu_id_tra campo de tipo INT ,9(12) , usuario dentro del sistema
usu_estado_tra
campo de tipo CHAR , X(01), para almacenar el estado de la transacción
‘0’ Activo
‘1’ Bloqueado
‘ 3’ Dado de baja
usu_id_ope campo de tipo INT, 9(12), para numeración de las operaciones por cliente
en el sistema
usu_telefono_tra campo de tipo INT 9(09), para albergar número de teléfono de la persona
beneficiaria de la operación
usu_tipo_tra
Campo de tipo CHAR, X(01), para almacenar operación
‘1’ Solicitud
‘2’ Anulación
usu_fecalta_tra
campo de tipo CHAR , X(10), para almacenar la fecha de alta en el
sistema de la transacción
usu_resultado
Campo de tipo INT, 9(1) para almacenar resultado de la operación
0 Ok
1 Erronea
usu_autori_tra
campo de tipo CHAR , X(06), para almacenar el número de autorización
de la operación que envía el Sistema Autorizador cuando valida la
operación
usu_fecultmod_tra campo de tipo CHAR , X(10), para almacenar la fecha de última
modificación en el sistema
usu_usuarumo_tra campo de tipo CHAR , X(08), para almacenar usuario de última
modificación en el sistema
usu_timestamp_tra Timestamp
53
4 SISTEMA DE PROCESAMIENTO DE
TRANSACCIONES DE PAGO
n este capítulo se presentan los componentes del módulo de sistema de Procesamiento de transacciones
de pago y cómo se llevan a cabo dichas transacciones.
4.1 Arquitectura técnica del sistema de Procesamiento de Transacciones de Pago
En el esquema de la Figura 4-1, se presentan los componentes del sistema.
La arquitectura del sistema de Procesamiento de las transacciones de Pago consta de una doble
plataforma con una arquitectura abierta y flexible:
La plataforma de procesos online, gestionada por Redsys, encargada de realizar el procesamiento de las
operaciones de pago en tiempo real (online), a través de llamadas a servicios web que derivan en la ejecución
de transacciones internas.
La plataforma CICLOM, que se encarga de la compensación y la liquidación de estas operaciones así
cómo de proporcionar a las entidades la información de las transacciones procesadas. Esta plataforma está
gestionada por Iberpay
Las entidades bancarias deben estar conectadas a la plataforma de proceso online gestionada por Redsys a través
de una red privada MPLS aunque aquellas entidades que ya dispongan de una conexión con Redsys, establecida
para otros servicios, podrán hacer uso de ella configurando un ancho de banda dedicado para el procesamiento
de los pagos móviles inmediatos y se comunican a través de servicios Web
E
Sistema de procesamiento de transacciones de pago
54
Figura 4-1 Arquitectura técnica del sistema de procesamiento de transacciones SCT int (pagos inmediatos)
Los accesos a la plataforma de procesos online de Redsys, para el procesamiento de las operaciones y envio del
cargo a la Entidad del ordenante y abono a la Entidad del beneficiario, puede realizarse bajo dos esquemas con
Presentación delegada en Redsys y Recepción en la Entidad beneficiaria directa o delegada en Redsys.
A continuación se describen ambos esquemas.
Presentación delegada en Redsys. Recepción directa de Servicio Básico
El siguiente esquema representa una operación de pago presentada por la entidad ordenante a través de Redsys
y recibida directamente por la entidad beneficiaria desde la plataforma de procesos online a través del Servicio
Básico que procesa la petición
Redsys, en nombre de la entidad ordenante, presenta la operación de pago al siatema que la procesará de manera
online (servicio básico), previo a realizar una petición de autorización a la entidad para realizar el cargo en la
cuenta del cliente, utilizando protocolo ISO 8583 (PRICE). La entidad beneficiaria recibe el abono directamente
del Servicio Básico, utilizando la mensajería WS definida para la recepción de estas operaciones. Las
operaciones realizadas a través de Redsys se comunicarán a la entidad ordenante, para su conciliación, en el lote
PRICE correspondiente
55 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Figura 4-1. Esquema de procesamiento de pago: Presentación delegada - Recepción directa
Presentación / Recepción delegada en Redsys
El siguiente esquema representa una operación de pago presentada por la entidad ordenante a través de Redsys
y recibida por la entidad beneficiaria a través de Redsys
Redsys, en nombre de la entidad ordenante, presenta la operación de pago al sistema que la procesará de manera
online (servicio básico), previo a realizar una petición de autorización a la entidad para realizar el cargo en la
cuenta del cliente, utilizando protocolo ISO 8583 (PRICE). Redsys recibe la petición de abono de éste, que
traslada a la entidad beneficiaria con una petición de autorización para realizar el abono en la cuenta del cliente,
utilizando también protocolo ISO 8583 (PRICE).
Las operaciones realizadas a través de Redsys se comunicarán a las entidades, ordenante y beneficiaria, para su
conciliación, en el lote PRICE correspondiente.
Sistema de procesamiento de transacciones de pago
56
Figura 4-2. Esquema de procesamiento de pago: Presentación delegada - Recepción delegada
Las operaciones de pagos se notificarán a las Entidades utilizando el protocolo ISO 8583 (PRICE) mediante los
correspondientes mensajes on-line (1100/1420).
o Petición de Cargo al emisor
57 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
P00 = 1100 / 1110
P03 = 10xxxx
P24 Valores:
140 - ENVIO para operaciones de envío de dinero
141 - SOLICITUD para operaciones de solicitud de dinero
142 - DEV.ENVIO para operaciones de devolución de envío
P32 = 4000
P42 = FUC 263123457.
P43 = Nombre del beneficiario
P48.44 se ha definido la nueva estructura. Ver Anexo I
P.102 = IBAN de la cuenta del ordenante
P.103 = IBAN de la cuenta del beneficiario
o Petición de Abono al adquirente
P00 = 1100 / 1110
P03 = 29xxxx
P24 Valores:
140 - ENVIO para operaciones de envío de dinero
141 - SOLICITUD para operaciones de solicitud de dinero
142 - DEV.ENVIO para operaciones de devolución de envío
P32 = 4000
P42 = FUC 263123457.
P43 = Nombre del beneficiario
P48.44 se ha definido la nueva estructura. Ver Anexo I
Sistema de procesamiento de transacciones de pago
58
P.102 = IBAN de la cuenta del ordenante
P.103 = IBAN de la cuenta del beneficiario
o Anulación de Petición de Cargo al emisor
P00 = 1420 / 1430
P03 = 10xxxx
P24 Valores:
440 - para operaciones de envío de dinero
441 - para operaciones de solicitud de dinero
442 - para operaciones de devolución de envío
P32 = 4000
P42 = FUC 263123457.
P43 = Nombre del beneficiario
P.102 = IBAN de la cuenta del ordenante
P.103 = IBAN de la cuenta del beneficiario
o Petición de Anulación de Abono al adquirente
59 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
P00 = 1420 / 1430
P03 = 29xxxx
P24 Valores:
440 - para operaciones de envío de dinero
441 - para operaciones de solicitud de dinero
442 - para operaciones de devolución de envío
P32 = 4000
P42 = FUC 263123457.
P43 = Nombre del beneficiario
P.102 = IBAN de la cuenta del ordenante
P.103 = IBAN de la cuenta del beneficiario
4.2 Consumo y provisión de servicios web
El intercambio de información entre las Entidades bancarias y el sistema de procesamiento de las transacciones
se realiza como anteriormente se ha expuesto, a través de servicios web.
Las Entidades deben realizar las tareas descritas a continuación:
Como consumidores de los servicios
Las entidades deben tener la capacidad de invocar los servicios web de una manera síncrona (mediante
HTTP), por lo que cada entidad tendrá que gestionar dicho sincronismo incluyendo un tratamiento adecuado
de los timeouts técnicos que se desarrollan en el apartado 5 de este documento.
Una vez la entidad haya recibido la respuesta a la llamada, debe realizar el tratamiento de la misma, tanto si
es positiva como negativa, continuando con el proceso según la definición, para garantizar la correcta
ejecución de las operaciones y el funcionamiento del sistema
Como proveedores de servicios web
Las entidades deben desplegar los servicios web que se requieren para ser consumidos por parte de la
plataforma de proceso online, así como desarrollar la lógica de negocio necesaria para cada uno de ellos.
Sistema de procesamiento de transacciones de pago
60
Estos servicios web deben alojarse en un servidor de aplicaciones dentro de las infraestructuras de las
entidades (de su core bancario)
Los servicios web necesarios para el funcionamiento del sistema, tanto los desplegados en la plataforma de
proceso online como los desplegados en cada una de las entidades, se indican en el apartado 4.3.2 de este
documento.
4.3 Intercambio de mensajes
El intercambio de mensajes entre las entidades bancarias y el Centro Procesador de pago se realiza mediante los
servicios web desplegados para tal efecto tanto en la plataforma de proceso online como en las entidades del
ordenante y del beneficiario.
Estos servicios cubren los requerimientos de los flujos de mensajes de envío, solicitud de retrocesión, respuesta
positiva a la solicitud de retrocesión, respuesta negativa a la solicitud de retrocesión, procedimiento de
investigación
4.3.1 Mensajes de operaciones en el subsistema
Los mensajes utilizados para el procesamiento de las operaciones de pago, basados en el estándar ISO 20022
XML.
Tabla 4-1 Mensajes ISO 20022 para procesamiento de operaciones de pago
4.3.2 Descripción general de los servicios web
Los servicios web son desarrollados siguiendo el protocolo SOAP, utilizando peticiones HTTP sobre TCP/IP
para la transmisión de mensajes. De esta manera, los mensajes entre la entidad y la plataforma de proceso online
se envían en formato SOAP. En el caso de los servicios web relativos a las operaciones intercambiadas en el
subsistema, el mensaje SOAP debe contener, a su vez, un mensaje XML en formato ISO 20022.
Es necesario tener en cuenta que al tratarse de llamadas a través de HTTP, y de cara a minimizar el consumo de
recursos que el llamante de cualquier servicio web debe tener establecido un timeout técnico y un tratamiento
automático para el mismo.
Tal y como se ha mencionado anteriormente, el intercambio de mensajes entre la plataforma de proceso online
y las entidades requiere una serie de servicios web, parte de ellos se despliegan en dicha plataforma de proceso
61 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
online y parte en las infraestructuras de las entidades.
A continuación se muestra donde se sitúan los servicios web dentro de la plataforma de proceso online de
Redsys, así como el detalle de servicios en en las entidades bancaria. Figura 4-3. Esquema de conexión cliente-
servidor de los servicios web
Figura 4-3. Esquema de conexión cliente-servidor de los servicios web.
Estos servicios web tienen un extremo servidor en la plataforma de proceso online y requieren un componente
cliente en las entidades para su invocación, tal y como muestra el ejemplo de invocación incluido a continuación
(Figura 4-4. Ejemplo de invocación de servicios web desplegados en la plataforma de proceso online).
Sistema de procesamiento de transacciones de pago
62
Figura 4-4. Ejemplo de invocación de servicios web desplegados en la plataforma de proceso online.
Los servicios web desplegados en la plataforma de proceso online son:
Tabla 4-2 Servicios web en plataforma procesos online
Y los desplegados en las Entidades bancarias:
63 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Tabla 4-3 Servicios web en entidades bancarias
4.3.3 Envío Pago Instantáneo
Esta función permite a la entidad del ordenante hacer llegar un mensaje de SCT Inst. Para ello, la entidad
ha de realizar una llamada al servicio web correspondiente haciéndole llegar un mensaje pacs.008.001.02
(XML ISO 20022).
Las características principales de este servicio web son las descritas a continuación:
Sistema de procesamiento de transacciones de pago
64
Servicio:
WS_ENVIO_Transferencia
Parámetros de entrada:
Cadena de texto con formato pacs.008.001.02 que contiene los datos de la SCT Inst.
Respuesta:
Cadena de texto con formato pacs.002.001.03, que contiene la validación realizada por la plataforma de
proceso online. El detalle del contenido de la respuesta, incluye el código de estado
Ejemplo de invocación: HTTP POST › <URL_BASE>/WS_ENVIO_Transferencia
{strXML: <pacs.008.001.02>}
(en el body del Request se ha de incluir el pacs.008.001.02)
Ejemplo de respuesta: 200 OK SOAP:<STATUS>IBP200</STATUS>
(en el body del Response vendrá contenido el pacs.002.001.03 y el campo STATUS)
Guía de implementación para las entidades:
El proceso comienza al recibir la entidad del ordenante una orden de su cliente para emitir un
transferencia o pago. La entidad lleva a cabo las validaciones pertinentes.
Para el envío de una SCT Inst, se formatea el pacs.008.001.02 con los datos de la transferencia y se
realiza una llamada al servicio web WS_ENVIO_Transferencia a través del componente cliente de la
interfaz online de la entidad.
La entidad debe establecer un contador (‘timer’) para realizar un tratamiento automático en caso de no
recibir a tiempo la respuesta por parte de la plataforma de proceso online.
Si al recibir la respuesta por parte de la plataforma de proceso online se obtiene un código de retorno
HTTP OK 200, se revisa el STATUS y si es IB200, se pasa a leer el mensaje pacs.002.001.03.
4.3.4 Recepción Pago Instantáneo
Esta función permite a la plataforma de proceso online hacer llegar un mensaje de pago o transferencia
SCT Inst a la entidad del beneficiario. Para ello, la plataforma de proceso online ha de realizar una
llamada al servicio reenviándole el mensaje pacs.008.001.02 que se recibió de la entidad del ordenante.
Las características principales de este servicio web son las descritas a continuación:
Servicio: WS_RECEP_Transferencia
Parámetros de entrada:
Cadena de texto con formato pacs.008.001.02 que contiene los datos de la SCT Inst.
65 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
Respuesta:
Cadena de texto con formato pacs.002.001.03 que contiene el resultado del proceso realizado por la
entidad.
Ejemplo de invocación: HTTP POST › <URL_BASE>/WS_RECEP_Transferencia {strXML: <pacs.008.001.02>}
(en el body del Request vendrá contenido el pacs.008.001.02)
Ejemplo de respuesta: 200 OK SOAP:<STATUS>IBP200</STATUS>
(en el body del Response se ha de incluir contenido el pacs.002.001.03 y el STATUS)
Guía de implementación para las entidades:
La entidad del beneficiario recibe una llamada por parte de la plataforma de proceso online al servicio
web WS_RECEP_Transferencia, que está desplegado en su infraestructura, haciéndole llegar un mensaje
pacs.008.001.02 enviado originalmente por la entidad del ordenante.
La entidad debe realizar las validaciones y chequeos necesarios para poder abonar la transferencia al
beneficiario
Finalmente, y en respuesta a la petición, la entidad debe formatear un mensaje pacs.002.001.03 indicando el
resultado del proceso.
4.3.5 Tratamiento de errores
Para tratar los errores en el intercambio de mensajes se establece una serie de códigos que permiten conocer el
motivo del error en la comunicación. Estos códigos estarán informados en el parámetro de salida denominado
“STATUS” que estará presente en los métodos de todos los servicios web.
Los códigos de respuesta del campo ‘STATUS’ son los siguientes:
Tabla 4-4 Tratamiento de errores
Sistema de procesamiento de transacciones de pago
66
Para los errores provocados por motivos que están fuera del ámbito del aplicativo SOAP, se utilizarán los que
están definidos por defecto en el estándar del protocolo HTTP
Los códigos de error lógicos de la aplicación se incluyen en el contenido de la respuesta de la petición
4.3.6 Seguridad
La seguridad en el acceso y en la información intercambiada está garantizada por la propia red privada MPLS.
Las características que incorpora esta red, junto con el establecimiento de un túnel IP VPN, permite cubrir las
necesidades de seguridad requeridas como son la autenticación, la integridad, la confidencialidad y el no repudio
de la información
11
5 CONCLUSIONES Y DESARROLLOS FUTUROS
n este capítulo se exponen las conclusiones a las que se han llegado con la consecución del PFC y si se
han cumplido de forma total o parcial los objetivos que se plantearon al inicio del proyecto, exponiéndose
además los posibles desarrollos futuros abiertos con el desarrollo del proyecto
5.1 Conclusiones
En este proyecto se ha podido constatar que los servicios de pago por móvil tienen un alto impacto en la
vida cotidiana de los usuarios. El crecimiento actual de este negocio puede experimentar un crecimiento
mayor con el tiempo si éste se orienta hacia un modelo abierto sostenible y colaborativo entre todos los
actores que intervienen en el ecosistema de los pagos móviles, centrado en las necesidades de los clientes
que básicamente consisten en garantizar la seguridad, simplicidad de uso, flexibilidad y universalidad y
calidad del servicio, así como mejorar su la experiencias de los usuarios con propuestas aplicables a todos
los escenarios donde es posible el pago móvil.
Se puede decir que se han cumplido los objetivos que se plantearon en el proyecto en su totalidad, al
proponer un modelo de pago mediante tarjeta a través del teléfono móvil de fácil uso y disponible y
aplicable en cualquier entorno, en el que se ofrece una mayor seguridad porque los datos bancarios de las
tarjetas con las que se realizan las operaciones, no se encuentran almacenadas ni en el dispositivo móvil
(en el elemento seguro) como ocurre en muchas soluciones existentes en el mercado, ni en la base de
datos de los servidores del proveedor del servicio.
El usuario que quiere efectuar un pago, solo tendrá que abrir la aplicación que instaló en su dispositivo
móvil y después de la autenticación en el sistema y de haber enviado el número de teléfono de la persona
a la que quiere realizarle un pago (podría ser un comercio), acercará una tarjeta a su móvil cuyos datos
serán capturados a través de la capacidades NFC de este, PAN, caducidad de la tarjeta, salvo el CVV,
dato que no es posible capturar y que cada usuario tendrá que introducir por pantalla para llevar a cabo el
pago y éste se realizará. De forma rápida y sencilla.
5.2 Desarrollos futuros
Entre los desarrollos futuros a este sistema de pagos propuesto, podría hacerse que la información de los
datos bancarios viajen pero aplicando métodos de tokenización para no enviar información del PAN y
asegurar aún más la seguridad tan requerida en este tipo de servicios.
La tokenización es una de las técnica técnica permite sustituir un dato sensible, en este caso, el número de
la tarjeta (PAN), por otro denominado token que no comprometa la seguridad del pago en el proceso
transaccional
E
13 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
BIBLIOGRAFÍA
[1] Redsys, PPII Acceso a Servicio Básico - Especificaciones Redsys v 1.0.1
[2] Iberpay, Sistema Nacional de Compensación Electrónica v1.0.1
[3] A New Model: The Consumer-Centric Model and How It Applies to the Mobile Ecosystem.
GlobalPlatform Whitepaper, March 2012 - http://goo.gl/LzcaVW
[4] Medios de pago e identificación personal en la era digital.
Disponible:https://www.nae.es/wpcontent/uploads/Medios-de-pago-e-identificacion-personal-en-la-era-
digital-2015.pdf
[5] The Mobile Payments and NFC Landscape: A U.S. Perspective. Smart Card Alliance, September 2011 -
http://goo.gl/nqxWta
[6] Los medios de pago, un paisaje en movimiento, 2016. http://www.pwc.es/es/financiero/publicaciones-
financiero.html
Glosario
14
14
GLOSARIO
ISO: International Organization for Standardization
SIM: Subscriber Identity Module
PIN: Número de identificación personal.
GSM: Global System for Mobile communications
NIP: Número de identificación personal
PIN: Personal Identification Number
TPV: Terminal punto de venta.
SMS: Servicio de mensaje cortos
USSD: Servicio de datos suplementario no estructurado.
PAN: Personal Account Number
BIN: Bank Identification Number
SOAP: Simple Object Access Protocol
SQL: Structured Query Language
URL: Uniform Resource Locator
RFID: Radio Frequency Identification
MST: Magnetic Secure Transmission
NFC: Near Field Communication.
P2P: Peer To Peer.
PAN: Personal Account Number.
PCI-DSS: Payment Card Industry Data Security Standard
APP: Aplicación.
CECA: Confederación Española de Cajas de Ahorro.
REDSYS:
BBVA:
CNMC: Comisión Nacional de los Mercados y Competencia
CVC: Card Verification Code.
EMV: Europay MasterCard VISA.
HCE: Host Card Emulation.
HTTP: Hypertext Tranfer Protocol.
HTTPS: Hypertext Tranfer Protocol Secure.
PRICE: Protocolo Integrado de Conexión de Establecimientos.
m-Commerce: Mobile Commerce
15 Tecnologías para el desarrollo de sistemas de pago a través del teléfono móvil
TSM: Trusted Service Managers
SMSC Short Message Service Center
SMS Short Message Service
USSD: Unstructured Supplementary Service Data
EPC: European Payment Council
SEPA: Single Euro Payments Area
SQL: Structured Query Language
RSA: Rivest, Shamir y Adleman
MTI: Message Type Indicator
XML: Extensible Markup Language
JSON: JavaScript Object Notation
REST: Representational State Transfer