ABI Carte 2003 - Oberthur Card Systems

Transcript

EMV Migration
Convegno ABI “Carte 2003” Roma, 6 e 7 novembre
Oltre i pagamenti: carte a microprocessore
e servizi a valore aggiunto
intervento a cura di
Marco Torri
Direzione Vendite
Oberthur Card Systems Italia
Copyright © 2003 Oberthur Card Systems. All rights reserved.
“Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003
EMV Migration
AGENDA
Parte I
Una breve introduzione a Oberthur Card Systems
Parte II
Le carte a microprocessore per l’emigrazione EMV
Parte III
Oltre i pagamenti: alcuni semplici servizi a valore aggiunto
da implementare sulle attuali carte a microprocessore
Oberthur Card Systems: alcuni dati di sintesi
1/2
EMV Migration
OCS NEL MONDO
OCS IN ITALIA – Dati finanziari
• 3000 Impiegati
• 140 Impiegati
• 440 Meuro di fatturato nel 2002:
• 49 Meuro di fatturato nel 2002:
• 36% carte bancarie
• 29% carte sim per la telefonia mobile
• 18% servizi di personalizzazione di carte bancarie
• 8% carte di identità e sicurezza
• 9% altri prodotti e servizi
• 59% smart card (= sim + carte bancarie)
• 41% produzione locale (= prod + perso)
• EBITDA pari a 7,2 Meuro
• EBITDA pari a 37,7 Meuro
• Sito di produzione e personalizzazione certificato
da VISA e Mastercard sia per la banda magnetica che il microchip EMV-ABI
• Uffici commerciali e siti produttivi in 21 Paesi
• Certificazione SQS ISO 9001:2000
Oberthur Card Systems: alcuni dati di sintesi
2/2
EMV Migration
OCS IN EUROPA
OCS IN ITALIA - Produzione
• 12 Uffici commerciali
• 73 ML di carte plastiche prodotte nel 2002:
• 5 Siti produttivi
• 30 ML di carte privative e scratch card
• 23 ML di carte bancarie
• 10 ML di smart card (= 7 con microprocessore)
• 6 Centri di personalizzazione (di cui 5 dedicati
specificatamente alle carte bancarie)
• Produce il 60% delle plastiche relative alle carte
di pagamento distribuite annualmente in Italia
Moscow
(CIC)
Tewkesbury
(UK)
Vitre
(France)
Caen
(France)
Sittard
(Netherlands)
Paris
(France)
• È stato il 1° produttore ad ottenere la certificazione ABI per una carta EMV da utilizzare nella
fase di roll-out del Progetto Microcircuito
Budapest
(Hungary)
Dijon
(France)
Milano
(Italy)
Madrid
(Spain)
Lisboa
(Portugal)
• Ha prodotto e personalizzato la 1° carta EMV utilizzata in Italia per una transazione di pagamento
(Aprile 2002)
Warsaw
(Poland)
Zurich
(Switzerland)
• Personallizza il 22% delle carte di pagamento
distribuite annualmente in Italia
Istanbul
(Turkey)
Barcelona
(Spain)
Al centro c’è la carta…
EMV Migration
Oberthur Card Systems Italia è in grado di gestire in maniera del tutto autonoma
l’intero processo produttivo di una carta bancaria a microprocessore:
Progettazione del
Sistema Operativo
Microprocessore
MicroMicro-elettronica
Embedding
Artwork grafico &
Stampa plastica
Test &
PrePre-personalizzazione
del chip
Personalizzazione
grafica ed elettrica,
codifica banda
magnetica
Abbinamento
carta+modulo,
confezionamento,
confezionamento,
postalizzazione,
postalizzazione,
creazione file di audit
OCS France (Vitré) e OCS UK (Tekwsbury)
OCS Italia (Milano)
dalla definizione dell’artwork grafico alla stampa del supporto plastico,
dalla microelettronica all’embedding del chip, dalla personalizzazione di plastica,
banda magnetica e microprocessore alla postalizzazione finale della carta
…ed intorno alla carta i 4 punti cardinali dell’offerta Oberthur
EMV Migration
PRODOTTI
PROJECT
MANAGEMENT
PARTNER
TECNOLOGICI
PERSONALIZZAZIONE
Le carte a microprocessore EMV: lo scenario di riferimento
EMV Migration
1.
Ci sono e ci saranno:
1 – più fornitori di chip
2 – chip di dimensioni e caratteristiche diverse
3 – più versioni dello stesso chip (EMV 2000)
2.
Il “prodotto carta”
carta” raddoppia il numero di componenti così
così come il
potenziale numero di fornitori. Si dovranno infatti acquistare:
tempo medio di consegna: 3-4 settimane
1 – plastiche
2 – chip
3 – embedding
4 – personalizzazione
tempo medio di consegna in base ai livelli di
servizio concordati
3.
Dal punto di vista dei “prodotti”
prodotti” (plastiche e chip) saranno i VOLUMI a
determinare il prezzo finale unitario.
4.
Dal punto di vista dei “servizi”
servizi” (embedding e personalizzazione) il prezzo
finale unitario sarà
à
determinato
dalle DIMENSIONI DEI LOTTI per entrambe
sar
le attività
attività, dalla loro COMPOSIZIONE nonché
nonché dai LIVELLI DI SERVIZIO
richiesti per la sola personalizzazione.
Le carte a microprocessore: l’offerta per i prodotti ABI-EMV
EMV Migration
Le carte a microprocessore: l’offerta per i prodotti EMV
EMV Migration
Utilizzare il chip per dare “valore” alle proprie carte di pagamento
EMV Migration
(1) Le due applicazioni di pagamento (credito/debito internazionale + bancomat) occupano complessivamente 3,2 kbyte. Sia sulla 8k che sulla 4k
restano a disposizione per una o più applicazioni aggiuntive da 4,8 a 1,8
kbyte.
(2) Le applicazioni aggiuntive possono:
Credito
Internazionale
Debito
Domestico
?
OCS Basic Operating System
Philips P8WE6008/4
–
limitarsi a sfruttare il motore EMV usato dalle due applicazioni di
pagamento al fine di gestire una struttura di dati “EMV compliant”
finalizzata all’esecuzione di un’applicazione alternativa
oppure
–
utilizzare una versione “personalizzata” del motore EMV secondo
necessità al fine di gestire una struttura di dati “proprietaria”
finalizzata all’esecuzione di un’applicazione alternativa.
(3) Aggiungere una nuova applicazione significa modificare in fase di prepersonalizzazione della carta la struttura, il numero e le condizioni di
accesso dei suoi file.
Tutto ciò richiede di norma la certificazione della nuova file structure da
parte del circuito internazionale interessato e questo passaggio obbligatorio nel processo di emissione della carta può richiedere qualche settimana.
La “file structure” di una carta di pagamento EMV
EMV Migration
MF PSE
EF_1
EF_2
DF Bancomat
EF_1
EF_2
EF_5
DF International
EF_3
EF_6
EF_3
EF_4
EF_1
EF_n
EF_3
EF_7
EF_11
EF_13
EF_5
EF_n
DF NonNon-Payment
EF_1
EF_n
EF_5
Data storage
1/2
EMV Migration
Credito
Internazionale
Debito
Domestico
Data Storage
Philips P8WE6008/4
Fornitore di carte
(1) Una semplice applicazione di “data storage” può permettere di arricchire
la propria carta di pagamento con una funzionalità molto semplice e
banale da destinare ad utilizzi correnti (accesso allo sportello) o a
segmenti di mercato verticali (memorizzazione di dati e punteggi o
graduatorie per gli aderenti ad una associazione di categoria o sportiva).
(2) Accanto all’applicazione di pagamento “classica”, senza interferire in alcun
modo con la medesima, è possibile inserire in fase di pre-personalizzazione una nuova struttura di file contenente sia informazioni non
riscrivibili che dati ed informazioni aggiornabili ad emissione avvenuta:
–
alcuni dei dati inseriti nella carta (ad esempio il nome ed il cognome
dell’associato oppure il suo codice fiscale o qualsiasi altro codice
univoco identificativo) saranno collocati in file non riscrivibili
–
altri dati saranno invece inseriti in file riscrivibili e modificabili solo
dopo l’autenticazione del processo di modifica / aggiornamento
tramite una chiave 3DES specifica: tale chiave sarà inserita nella
carta al momento della sua personalizzazione (lo stesso avverrà per
tutte o una parte delle informazioni inserite nei file riscrivibili e non).
System Integrator
ISSUER
Fornitore di terminali
Gestore del Network
(3) La dimensione complessiva dei dati da memorizzare dipende dalla
disponibilità di memoria del chip utilizzato (4k o 8k) e dalle applicazioni di
pagamento attivate (internazionale, domestica, internazionale+domestica).
Data storage
EMV Migration
2/2
MF PSE
EF_1
EF_2
DF Data Storage
EF_Data
Storage 1
(Leggibile –
Riscrivibile)
EF_Data
Storage 2
(Leggibile –
Riscrivibile)
DF Visa
EF_Data
Storage 3
(Leggibile –
Riscrivibile)
Riscrivibile)
EF_1
EF_3
EF_7
EF_Data Storage
(Leggibile – NON
riscrivibile)
riscrivibile)
EF_3
EF_11
EF_13
EF_5
EF_n
EF_Chiavi
EF_Chiavi
(NON leggibile – NON
riscrivibile)
riscrivibile)
Generazione dinamica di password
1/3
EMV Migration
Credito
Internazionale
Debito
Domestico
Autenticazione
Philips P8WE6008/4
Fornitore di carte
System Integrator
ISSUER
Carte di credito
BANCA
Servizio online
(1) È possibile dotare una normale carta di pagamento EMV della capacità di
generare password “usa-e-getta” con cui autenticarsi presso un sito
online (= home banking) o con cui firmare in maniera virtuale un
messaggio o una transazione effettuate sempre tramite il medesimo sito o
direttamente allo sportello della singola agenzia bancaria.
(2) Anche in questo caso, accanto all’applicazione di pagamento “classica”
(ma senza interferire con la medesima), è possibile inserire in fase di
pre-personalizzazione una nuova struttura di file in grado di gestire un
PIN (che può coincidere o meno con quello dell’applicazione di
pagamento) ed una chiave 3DES di autenticazione.
Questa chiave 3DES, alloggiata in un file non leggibile dall’esterno né
aggiornabile durante la fase di utilizzo, serve a calcolare un crittogramma
di autenticazione: tale crittogramma è dato da un’operazione di MAC su
alcuni dati presenti all’interno della carta (tra questi l’ATC ed il Card
Verification Result).
(3) Questa soluzione permette di autenticare un cardholder anche nell’ambito
di transazioni virtuali in base a due elementi: il possesso della carta (che
va inserita in un terminale apposito per il calcolo e la visualizzazione della
password “usa-e-getta”) e la conoscenza del PIN (che permette di
accedere alla funzionalità di creazione del crittogramma).
EMV Migration
2/3
MF PSE
EF_1
EF_2
DF Password
EF_Data
(Leggibile –
NON riscrivibile)
riscrivibile)
EF_Chiavi
EF_Chiavi
(NON leggibile –
NON riscrivibile)
riscrivibile)
EF_3
DF International
EF_1
EF_3
EF_7
EF_11
EF_13
EF_5
EF_n
EF_PIN
(NON leggibile –
NON riscrivibile)
riscrivibile)
3/3
EMV Migration
1. password
Server
1. password
2. challenge
PIN
Database
2. challenge
3. response
3. response
Internet / Intranet / Extranet
Soluzione mobile, non richiede alcun collegamento fisico al PC
Basata sulle funzioni crittografiche e di sicurezza standard
delle smart card (= 3DES)
Authentication
Signature
Genera una password « usa e getta » non replicabile e basata
sul PIN della carta (che può essere diverso da quello di pagamento)

Permette di « firmare » una transazione in modalità « challenge / response »
2 fattori diversi di autenticazione
Firma della transazione
Utilizzabile per l’autenticazione locale o remota in ambiente
Internet / Intranet / Extranet
Applicazioni di loyalty
1/2
EMV Migration
Credito
Internazionale
Debito
Domestico
Loyalty
Philips P8WE6008/4
Fornitore di carte
System Integrator
ISSUER
(1) Le applicazioni loyalty sono da sempre uno dei servizi a valore aggiunto
più diffusi da parte di banche ed istituti finanziari per incentivare l’utilizzo
delle proprie carte di credito. In Italia sino ad oggi si sono avute poche
esperienze di questo genere mentre sono diverse le case-history di
successo in altri Paesi: in tutti questi casi, il chip si è rivelato una
condizione “sine qua non” per il successo dell’iniziativa.
(2) L’organizzazione dei file è simile a quella utilizzata per il “data storage”: la
chiave di autenticazione è contenuta in un file non leggibile dall’esterno
né aggiornabile; vi sono file leggibili e riscrivibili (dopo essersi autenticati) e
file non riscrivibili; alcuni file contengono, anziché semplici informazioni da
leggere e/o aggiornare, dei contatori che il terminale POS (su cui deve
essere installato un SAM) aggiorna in base alle specifiche richieste dei vari
Loyalty Provider oppure in accordo con quanto stabilito dall’ istituto
finanziario proprietario della carta di pagamento su cui l’applicazione di
loyalty gira.
Carte di credito
Loyalty Provider
(3) Nel caso di applicazioni loyalty multi-programma il numero di iniziative attivabili contemporaneamente dipende dalla dimensione di memoria disponibile sulla carta: nel caso di Welcome Real Time, la carta OCS da
4k utilizzata da AK Bank (Turchia) nella prima emissione di 1,5 ML di carte
è in grado di supportare – oltre all’applicazione VISA – 43 programmi di
raccolta punti, 20 di raccolta coupon elettronici e 20 di gestione sconti.
Applicazioni di loyalty
EMV Migration
2/2
MF PSE
EF_1
EF_2
DF WRT Loyalty
EF_Loyalty
EF_Loyalty
Coupon
(Leggibile –
Riscrivibile)
EF_Loyalty
EF_Loyalty
Frequenza
(Leggibile –
Riscrivibile)
DF International
EF_Loyalty
EF_Loyalty
Punti
(Leggibile –
Riscrivibile)
Riscrivibile)
EF_1
EF_3
EF_7
EF_Info Cliente
(Leggibile – NON
riscrivibile)
riscrivibile)
EF_3
EF_11
EF_13
EF_5
EF_n
EF_Chiavi
EF_Chiavi
(NON leggibile – NON
riscrivibile)
riscrivibile)
Applicazioni di loyalty: Welcome Real Time
1/2
EMV Migration
Un’organizzazione a livello mondiale
3 organizzazioni regionali di vendita

Europa (Aix-en-Provence)
Asia (Singapore)
US (Phoenix)
2 laboratori R&D

Una tecnologia comprovata
Device Lab (Aix-en-Provence)
Server Lab (Singapore)
Partner strategici
50+ implementazioni
120+ anni uomo di Ricerca e Sviluppo
18 brevetti in 10 Paesi
www.welcome-rt.com
Applicazioni di loyalty: Welcome Real Time
2/2
EMV Migration
Infrastruttura del Card Issuer
XLS Card Applets
(Dynamic data mgmt)
XLS Card Mgmt Software
(Manage card contents)
Infrastruttura del Merchant
XLS Terminal Software
(Offline recognition & reward)
XLS Server Software
(Program definition & reporting)
www.welcome-rt.com
Conclusioni
1/2
EMV Migration

Alle attuali carte di pagamento a microprocessore è possibile aggiungere
da subito servizi a valore aggiunto “semplicemente” modificandone in
modo opportuno la file structure…
Sia sulla 8k ABI – EMV (già certificata) che la 4k ABI – EMV (in corso di certificazione) sono state
testate applicazioni di “data storage”, “autenticazione online”, “loyalty”, “borsellino elettronico”,
“micropagamenti”

Le attuali carte ABI – EMV disponibili sul mercato hanno molti meno
limiti di quanto si pensi, è possibile – senza intervenire sul core della
carta stessa (= maschera) – configurare applicazioni e servizi a valore
aggiunto di grande impatto…
Conclusioni
2/2
EMV Migration

La smart card è…
…un prodotto tecnologico di grandi potenzialità
ed è anche
…un imbattibile strumento di marketing Æ portatile, di semplice utilizzo, “low cost”, multiapplicativo

come ogni prodotto tecnologico è…
…un prodotto “costoso” che richiede competenze tecniche e di business specifiche
ed è anche
…un prodotto “complesso”, in sé e per il processo produttivo che richiede

ma è un prodotto che oggi offre un range di applicazioni e possibili
utilizzi che pochissimi altri prodotti offrono.
EMV Migration
Noi ci occupiamo
di ciò che è CRITICO,
voi occupatevi
di ciò che è STRATEGICO
Grazie dell’attenzione.
Per qualsiasi informazione o dettaglio
potete contattarmi all’indirizzo email
“[email protected]”