ABI Carte 2003 - Oberthur Card Systems
Transcript
ABI Carte 2003 - Oberthur Card Systems
EMV Migration Convegno ABI “Carte 2003” Roma, 6 e 7 novembre Oltre i pagamenti: carte a microprocessore e servizi a valore aggiunto intervento a cura di Marco Torri Direzione Vendite Oberthur Card Systems Italia Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 EMV Migration AGENDA Parte I Una breve introduzione a Oberthur Card Systems Parte II Le carte a microprocessore per l’emigrazione EMV Parte III Oltre i pagamenti: alcuni semplici servizi a valore aggiunto da implementare sulle attuali carte a microprocessore Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Oberthur Card Systems: alcuni dati di sintesi 1/2 EMV Migration OCS NEL MONDO OCS IN ITALIA – Dati finanziari • 3000 Impiegati • 140 Impiegati • 440 Meuro di fatturato nel 2002: • 49 Meuro di fatturato nel 2002: • 36% carte bancarie • 29% carte sim per la telefonia mobile • 18% servizi di personalizzazione di carte bancarie • 8% carte di identità e sicurezza • 9% altri prodotti e servizi • 59% smart card (= sim + carte bancarie) • 41% produzione locale (= prod + perso) • EBITDA pari a 7,2 Meuro • EBITDA pari a 37,7 Meuro • Sito di produzione e personalizzazione certificato da VISA e Mastercard sia per la banda magnetica che il microchip EMV-ABI • Uffici commerciali e siti produttivi in 21 Paesi • Certificazione SQS ISO 9001:2000 Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Oberthur Card Systems: alcuni dati di sintesi 2/2 EMV Migration OCS IN EUROPA OCS IN ITALIA - Produzione • 12 Uffici commerciali • 73 ML di carte plastiche prodotte nel 2002: • 5 Siti produttivi • 30 ML di carte privative e scratch card • 23 ML di carte bancarie • 10 ML di smart card (= 7 con microprocessore) • 6 Centri di personalizzazione (di cui 5 dedicati specificatamente alle carte bancarie) • Produce il 60% delle plastiche relative alle carte di pagamento distribuite annualmente in Italia Moscow (CIC) Tewkesbury (UK) Vitre (France) Caen (France) Sittard (Netherlands) Paris (France) • È stato il 1° produttore ad ottenere la certificazione ABI per una carta EMV da utilizzare nella fase di roll-out del Progetto Microcircuito Budapest (Hungary) Dijon (France) Milano (Italy) Madrid (Spain) Lisboa (Portugal) • Ha prodotto e personalizzato la 1° carta EMV utilizzata in Italia per una transazione di pagamento (Aprile 2002) Warsaw (Poland) Zurich (Switzerland) • Personallizza il 22% delle carte di pagamento distribuite annualmente in Italia Istanbul (Turkey) Barcelona (Spain) Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Al centro c’è la carta… EMV Migration Oberthur Card Systems Italia è in grado di gestire in maniera del tutto autonoma l’intero processo produttivo di una carta bancaria a microprocessore: Progettazione del Sistema Operativo Microprocessore MicroMicro-elettronica Embedding Artwork grafico & Stampa plastica Test & PrePre-personalizzazione del chip Personalizzazione grafica ed elettrica, codifica banda magnetica Abbinamento carta+modulo, confezionamento, confezionamento, postalizzazione, postalizzazione, creazione file di audit OCS France (Vitré) e OCS UK (Tekwsbury) OCS Italia (Milano) dalla definizione dell’artwork grafico alla stampa del supporto plastico, dalla microelettronica all’embedding del chip, dalla personalizzazione di plastica, banda magnetica e microprocessore alla postalizzazione finale della carta Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 …ed intorno alla carta i 4 punti cardinali dell’offerta Oberthur EMV Migration PRODOTTI PROJECT MANAGEMENT PARTNER TECNOLOGICI PERSONALIZZAZIONE Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Le carte a microprocessore EMV: lo scenario di riferimento EMV Migration 1. Ci sono e ci saranno: 1 – più fornitori di chip 2 – chip di dimensioni e caratteristiche diverse 3 – più versioni dello stesso chip (EMV 2000) 2. Il “prodotto carta” carta” raddoppia il numero di componenti così così come il potenziale numero di fornitori. Si dovranno infatti acquistare: tempo medio di consegna: 3-4 settimane 1 – plastiche 2 – chip tempo medio di consegna: 10-12 settimane 3 – embedding tempo medio di consegna: 2-3 settimane 4 – personalizzazione tempo medio di consegna in base ai livelli di servizio concordati 3. Dal punto di vista dei “prodotti” prodotti” (plastiche e chip) saranno i VOLUMI a determinare il prezzo finale unitario. 4. Dal punto di vista dei “servizi” servizi” (embedding e personalizzazione) il prezzo finale unitario sarà à determinato dalle DIMENSIONI DEI LOTTI per entrambe sar le attività attività, dalla loro COMPOSIZIONE nonché nonché dai LIVELLI DI SERVIZIO richiesti per la sola personalizzazione. Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Le carte a microprocessore: l’offerta per i prodotti ABI-EMV EMV Migration Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Le carte a microprocessore: l’offerta per i prodotti EMV EMV Migration Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Utilizzare il chip per dare “valore” alle proprie carte di pagamento EMV Migration (1) Le due applicazioni di pagamento (credito/debito internazionale + bancomat) occupano complessivamente 3,2 kbyte. Sia sulla 8k che sulla 4k restano a disposizione per una o più applicazioni aggiuntive da 4,8 a 1,8 kbyte. (2) Le applicazioni aggiuntive possono: Credito Internazionale Debito Domestico ? OCS Basic Operating System Philips P8WE6008/4 – limitarsi a sfruttare il motore EMV usato dalle due applicazioni di pagamento al fine di gestire una struttura di dati “EMV compliant” finalizzata all’esecuzione di un’applicazione alternativa oppure – utilizzare una versione “personalizzata” del motore EMV secondo necessità al fine di gestire una struttura di dati “proprietaria” finalizzata all’esecuzione di un’applicazione alternativa. (3) Aggiungere una nuova applicazione significa modificare in fase di prepersonalizzazione della carta la struttura, il numero e le condizioni di accesso dei suoi file. Tutto ciò richiede di norma la certificazione della nuova file structure da parte del circuito internazionale interessato e questo passaggio obbligatorio nel processo di emissione della carta può richiedere qualche settimana. Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 La “file structure” di una carta di pagamento EMV EMV Migration MF PSE EF_1 EF_2 DF Bancomat EF_1 EF_2 EF_5 DF International EF_3 EF_6 EF_3 EF_4 EF_1 EF_n EF_3 EF_7 EF_11 EF_13 EF_5 EF_n DF NonNon-Payment EF_1 Copyright © 2003 Oberthur Card Systems. All rights reserved. EF_n EF_5 “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Data storage 1/2 EMV Migration Credito Internazionale Debito Domestico Data Storage OCS Basic Operating System Philips P8WE6008/4 Fornitore di carte (1) Una semplice applicazione di “data storage” può permettere di arricchire la propria carta di pagamento con una funzionalità molto semplice e banale da destinare ad utilizzi correnti (accesso allo sportello) o a segmenti di mercato verticali (memorizzazione di dati e punteggi o graduatorie per gli aderenti ad una associazione di categoria o sportiva). (2) Accanto all’applicazione di pagamento “classica”, senza interferire in alcun modo con la medesima, è possibile inserire in fase di pre-personalizzazione una nuova struttura di file contenente sia informazioni non riscrivibili che dati ed informazioni aggiornabili ad emissione avvenuta: – alcuni dei dati inseriti nella carta (ad esempio il nome ed il cognome dell’associato oppure il suo codice fiscale o qualsiasi altro codice univoco identificativo) saranno collocati in file non riscrivibili – altri dati saranno invece inseriti in file riscrivibili e modificabili solo dopo l’autenticazione del processo di modifica / aggiornamento tramite una chiave 3DES specifica: tale chiave sarà inserita nella carta al momento della sua personalizzazione (lo stesso avverrà per tutte o una parte delle informazioni inserite nei file riscrivibili e non). System Integrator ISSUER Fornitore di terminali Gestore del Network Copyright © 2003 Oberthur Card Systems. All rights reserved. (3) La dimensione complessiva dei dati da memorizzare dipende dalla disponibilità di memoria del chip utilizzato (4k o 8k) e dalle applicazioni di pagamento attivate (internazionale, domestica, internazionale+domestica). “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Data storage EMV Migration 2/2 MF PSE EF_1 EF_2 DF Data Storage EF_Data Storage 1 (Leggibile – Riscrivibile) EF_Data Storage 2 (Leggibile – Riscrivibile) DF Visa EF_Data Storage 3 (Leggibile – Riscrivibile) Riscrivibile) EF_1 EF_3 EF_7 EF_Data Storage (Leggibile – NON riscrivibile) riscrivibile) Copyright © 2003 Oberthur Card Systems. All rights reserved. EF_3 EF_11 EF_13 EF_5 EF_n EF_Chiavi EF_Chiavi (NON leggibile – NON riscrivibile) riscrivibile) “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Generazione dinamica di password 1/3 EMV Migration Credito Internazionale Debito Domestico Autenticazione OCS Basic Operating System Philips P8WE6008/4 Fornitore di carte System Integrator ISSUER Carte di credito Fornitore di terminali BANCA Servizio online Copyright © 2003 Oberthur Card Systems. All rights reserved. (1) È possibile dotare una normale carta di pagamento EMV della capacità di generare password “usa-e-getta” con cui autenticarsi presso un sito online (= home banking) o con cui firmare in maniera virtuale un messaggio o una transazione effettuate sempre tramite il medesimo sito o direttamente allo sportello della singola agenzia bancaria. (2) Anche in questo caso, accanto all’applicazione di pagamento “classica” (ma senza interferire con la medesima), è possibile inserire in fase di pre-personalizzazione una nuova struttura di file in grado di gestire un PIN (che può coincidere o meno con quello dell’applicazione di pagamento) ed una chiave 3DES di autenticazione. Questa chiave 3DES, alloggiata in un file non leggibile dall’esterno né aggiornabile durante la fase di utilizzo, serve a calcolare un crittogramma di autenticazione: tale crittogramma è dato da un’operazione di MAC su alcuni dati presenti all’interno della carta (tra questi l’ATC ed il Card Verification Result). (3) Questa soluzione permette di autenticare un cardholder anche nell’ambito di transazioni virtuali in base a due elementi: il possesso della carta (che va inserita in un terminale apposito per il calcolo e la visualizzazione della password “usa-e-getta”) e la conoscenza del PIN (che permette di accedere alla funzionalità di creazione del crittogramma). “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Generazione dinamica di password EMV Migration 2/3 MF PSE EF_1 EF_2 DF Password EF_Data (Leggibile – NON riscrivibile) riscrivibile) EF_Chiavi EF_Chiavi (NON leggibile – NON riscrivibile) riscrivibile) EF_3 DF International EF_1 EF_3 EF_7 EF_11 EF_13 EF_5 EF_n EF_PIN (NON leggibile – NON riscrivibile) riscrivibile) Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Generazione dinamica di password 3/3 EMV Migration 1. password Server 1. password 2. challenge PIN Database 2. challenge 3. response 3. response Internet / Intranet / Extranet Soluzione mobile, non richiede alcun collegamento fisico al PC Basata sulle funzioni crittografiche e di sicurezza standard delle smart card (= 3DES) Authentication Signature Genera una password « usa e getta » non replicabile e basata sul PIN della carta (che può essere diverso da quello di pagamento) Permette di « firmare » una transazione in modalità « challenge / response » 2 fattori diversi di autenticazione Firma della transazione Utilizzabile per l’autenticazione locale o remota in ambiente Internet / Intranet / Extranet Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Applicazioni di loyalty 1/2 EMV Migration Credito Internazionale Debito Domestico Loyalty OCS Basic Operating System Philips P8WE6008/4 Fornitore di carte System Integrator ISSUER (1) Le applicazioni loyalty sono da sempre uno dei servizi a valore aggiunto più diffusi da parte di banche ed istituti finanziari per incentivare l’utilizzo delle proprie carte di credito. In Italia sino ad oggi si sono avute poche esperienze di questo genere mentre sono diverse le case-history di successo in altri Paesi: in tutti questi casi, il chip si è rivelato una condizione “sine qua non” per il successo dell’iniziativa. (2) L’organizzazione dei file è simile a quella utilizzata per il “data storage”: la chiave di autenticazione è contenuta in un file non leggibile dall’esterno né aggiornabile; vi sono file leggibili e riscrivibili (dopo essersi autenticati) e file non riscrivibili; alcuni file contengono, anziché semplici informazioni da leggere e/o aggiornare, dei contatori che il terminale POS (su cui deve essere installato un SAM) aggiorna in base alle specifiche richieste dei vari Loyalty Provider oppure in accordo con quanto stabilito dall’ istituto finanziario proprietario della carta di pagamento su cui l’applicazione di loyalty gira. Carte di credito Fornitore di terminali Loyalty Provider Copyright © 2003 Oberthur Card Systems. All rights reserved. (3) Nel caso di applicazioni loyalty multi-programma il numero di iniziative attivabili contemporaneamente dipende dalla dimensione di memoria disponibile sulla carta: nel caso di Welcome Real Time, la carta OCS da 4k utilizzata da AK Bank (Turchia) nella prima emissione di 1,5 ML di carte è in grado di supportare – oltre all’applicazione VISA – 43 programmi di raccolta punti, 20 di raccolta coupon elettronici e 20 di gestione sconti. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Applicazioni di loyalty EMV Migration 2/2 MF PSE EF_1 EF_2 DF WRT Loyalty EF_Loyalty EF_Loyalty Coupon (Leggibile – Riscrivibile) EF_Loyalty EF_Loyalty Frequenza (Leggibile – Riscrivibile) DF International EF_Loyalty EF_Loyalty Punti (Leggibile – Riscrivibile) Riscrivibile) EF_1 EF_3 EF_7 EF_Info Cliente (Leggibile – NON riscrivibile) riscrivibile) Copyright © 2003 Oberthur Card Systems. All rights reserved. EF_3 EF_11 EF_13 EF_5 EF_n EF_Chiavi EF_Chiavi (NON leggibile – NON riscrivibile) riscrivibile) “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Applicazioni di loyalty: Welcome Real Time 1/2 EMV Migration Un’organizzazione a livello mondiale 3 organizzazioni regionali di vendita Europa (Aix-en-Provence) Asia (Singapore) US (Phoenix) 2 laboratori R&D Una tecnologia comprovata Device Lab (Aix-en-Provence) Server Lab (Singapore) Partner strategici 50+ implementazioni 120+ anni uomo di Ricerca e Sviluppo 18 brevetti in 10 Paesi www.welcome-rt.com Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Applicazioni di loyalty: Welcome Real Time 2/2 EMV Migration Infrastruttura del Card Issuer XLS Card Applets (Dynamic data mgmt) XLS Card Mgmt Software (Manage card contents) Infrastruttura del Merchant XLS Terminal Software (Offline recognition & reward) XLS Server Software (Program definition & reporting) www.welcome-rt.com Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Conclusioni 1/2 EMV Migration Alle attuali carte di pagamento a microprocessore è possibile aggiungere da subito servizi a valore aggiunto “semplicemente” modificandone in modo opportuno la file structure… Sia sulla 8k ABI – EMV (già certificata) che la 4k ABI – EMV (in corso di certificazione) sono state testate applicazioni di “data storage”, “autenticazione online”, “loyalty”, “borsellino elettronico”, “micropagamenti” Le attuali carte ABI – EMV disponibili sul mercato hanno molti meno limiti di quanto si pensi, è possibile – senza intervenire sul core della carta stessa (= maschera) – configurare applicazioni e servizi a valore aggiunto di grande impatto… Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 Conclusioni 2/2 EMV Migration La smart card è… …un prodotto tecnologico di grandi potenzialità ed è anche …un imbattibile strumento di marketing Æ portatile, di semplice utilizzo, “low cost”, multiapplicativo come ogni prodotto tecnologico è… …un prodotto “costoso” che richiede competenze tecniche e di business specifiche ed è anche …un prodotto “complesso”, in sé e per il processo produttivo che richiede ma è un prodotto che oggi offre un range di applicazioni e possibili utilizzi che pochissimi altri prodotti offrono. Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003 EMV Migration Noi ci occupiamo di ciò che è CRITICO, voi occupatevi di ciò che è STRATEGICO Grazie dell’attenzione. Per qualsiasi informazione o dettaglio potete contattarmi all’indirizzo email “[email protected]” Copyright © 2003 Oberthur Card Systems. All rights reserved. “Carte EMV: i servizi a valore aggiunto” by Marco Torri, November 2003