En ocasiones (bastantes), el datáfono de los comercios tiene pinta de tener ya una buena cantidad de años encima. No hace mucho, pagué en un Mas y Mas en un datáfono que tenía pantalla LCD estas antiguas (tipo calculadora), VeriFone, si mal no recuerdo.
Pregunto sin tener ni idea: ¿esos aparatos tan (aparentemente) obsoletos son seguros, dado que lo que manejan son datos sensibles de pago?
Si no te fías del datáfono como tal paga con el teléfono ya que no se comparte tu número de tarjeta, y con respecto a la seguridad del datáfono me preocupa más el clonado de tarjetas, y luego algo tan simple que nadie hace que es tapa el CVV le pones una pegatina o lo rayas y lo recuerdas que solo son 3 nuneros
Ya que no see comparte tu número de tarjeta
Ah no? Y cómo sabe el banco a quién hacerle el cargo?
Se genera un número de tarjeta distinto al tuyo. Aunque creo que ese número de tarjeta es siempre el mismo desde que añades la tarjeta a Google Pay y no se hasta que punto mejora la seguridad (En revolut por ejemplo puedes generar tarjetas de un solo uso)
Perdón por no explicar pero creo que una imagen vale más que mil palabras
Pues no se qué quieres transmitir con esa imagen. ¿Que al pagar con Google Pay si se comparte la numeración original? Es información de Google. En tal caso, entiendo que fuente: Cibeles.
Se hace con un token, que es el que identifica tu banco.
Exacto
El número que se genera en Google Pay, llamado DPAN o "codigo de cuenta virtual" es lo que se transmite al TPV y es lo que se almacena en el terminal del usuario.
NO es una tarjeta virtual.
Lo habitual es que se regenere el PAN cada vez que se recibe una solicitud para asociar un terminal nuevo, y ese PAN bajo ningún concepto se muestra en plano al usuario, se transmite de forma directa al chip del terminal.
Y, aclarando lo que dice "Jim hay" mas abajo, ese esquema es para una operación de compra a traves de Google Pay en un servicio en línea, tipo cuando compras algo por la web y te sale que lo puedes pagar con "G Pay" o in-app. Pero no va muy desencaminado.
Aviso, viene turra.
Hay que distinguir 4 elementos que intervienen cuando asociamos nuestra tarjeta al móvil: el terminal, Google, el TSP o proveedor de token (entidad bancaria normalmente) y el emisor/issuer (Visa, Mastercard, Amex, maestro, electrón…). Cuando iniciamos la asociacion, Google recibe en sus servidores los datos de la tarjeta y se los pasa al TSP que a su vez se los pasa al Issuer. Si TSP e Issuer dan el OK, el Issuer emite un token (tarjeta virtual, para que nos entendamos), se lo pasa al TSP, y el TSP manda los metadatos de la tarjeta (grafismo) y el token (pero el token aun no está activo) a Google, que lo almacena y se lo pasa al terminal, luego el TSP lanza el challenge de identificación. Solo una vez que el usuario se ha identificado, el TSP se lo comunica al Issuer y se activa el token.
Indicar que Google no puede asociar el token a un dispositivo nuevo sin pasar el challenge de la entidad bancaria, o la entidad bloquearia las transacciones. Ese token solo le sirve a Google para lanzar operaciones de venta online y el banco el 90% de las veces pide verificacion 3DS.
Además, si pasados 90 días el dispositivo en cuestión no contacta con los servidores de Google, el token de la tarjeta se elimina de los servidores. También se eliminaría de los servidores si retiramos la tarjeta de los servicios de Google.
El procedimiento en Apple es similar. En ambos casos, tanto Google como Apple deben intervenir para lanzar la petición de token a los TSP bien por Google Pay bien por Apple Wallet, un móvil sólo no puede hacer eso. Eso sí, una vez recibe el token, el terminal móvil/smartwatch es completamente independiente de Google/Apple para operar con el datáfono, no intervienen para nada. El móvil le pasa al datáfono el token y ya el procesador de pagos del datáfono (Redsys, Verifone, Ingenico…) hace la operación como si fuese una tarjeta normal. Pero recordar que el banco si sabe que la operación la hiciste con el movil y no con tu tarjeta.
Espero haber aclarado algo esto y no haberme puesto muy técnico, lo he intentado resumir pero hay mucha chicha detrás para que esto funcione bien 😅
+info:
developers.google.com/pay/issuers/overvi…ty?hl=es-419
developers.google.com/pay/issuers/tsp-in…ew?hl=es-419
developers.google.com/pay/issuers/tsp-in…ws?hl=es-419
a mi en los tickets nunca me ha aparecido el número de tarjeta virtual, y uso Google pay y me aparece el número ese
Mira 👏👏👏 no se puede explicar mejor
Me encanta este foro por cosas como esta.
Como lee la tarjeta?
Metiéndola por abajo, el contactless me funciona fatal y me rechaza la mayoría de pagos.
Sí Verifone , es uno de los principales fabricantes de datáfonos, entre otras cosas.Sobre lo que comentas, lo único que hace el aparato es ponerse en contacto con tú banco, al que le solicita permiso para realizar el correspondiente cargo, ya bien sea débito o crédito. No hay más intercambio de datos. Es un equipo que facilita la entidad bancaria, que debe ser la encargada de velar por tús datos. Hay que tener cuidado con que no haya nada extraño o que no tenga una apariencia rara, para evitar el clonado de tarjeta. Nunca pierdas de vista tú tarjeta y no permitas que sea la persona que te está cobrando la que realice el pago. Con un mínimo de sentido no deberías de tener problemas.
Por normativa todos los TPV en España que quieran operar tienen que usar el estandar EMV para transacciones. Entre otros, requiere autenticar al titular y que la transacción vaya cifrada.
Si dices que es Verifone seguramente sea seguro, esa gente es capaz de hacer que un rollo de papel de vater acepte un pago (en serio, hacen todo tipo de TPV)
Les acabas de dar la idea al que esta sin hacer nada en la oficina de Verifone.
*en el váter de la oficina xDD
Me agrada saberlo, gracias.
Ahora mismo tengo un ticket delante que pagué con el reloj (apple) y el número que aparece de tarjeta, bueno solo salen los 4 últimos, ni se parece al real
De todas formas, aunque apareciese el número real, no habría ningún problema (solo con el número de la tarjeta no se puede hacer nada).
Es absolutamente imposible que te clonen la tarjeta mientras pagas con un sistema como Apple Pay o similar.
Una tarjeta física durante toda su vida emite la misma información para procesar el pago (la información que almacena y transmite el chip, la banda magnética y el NFC es invariable), por lo que si se captan los datos de esta (y se consiguen desencriptar) pueden llegar a clonarla (cabe mencionar que cada vez es algo más complicado de conseguir).
Por el contrario, Apple Pay lo que hace es emitir un código de transacción único para cada transacción, por lo que aunque consigan captar la información de ese pago, es absolutamente inservible, ya que ese código de transacción será válido únicamente para la transacción que estabas realizando en ese momento, y para ninguna más.
Cuando te enteres que los cajeros van con Windows XP no vuelves a sacar dinero de ellos y quitas todo el dinero que tengas al banco xD
Tienes razón lo de los cajeros es un chiste, pero también te digo en España en lo que respecta a los bancos tenemos una banca muy segura, la mayoría de robos de cuentas y de dinero suele ser culpa del usuarios, en latino América por desgracia si se ve más los problemas en la banca, recuerdo un caso de cajeros que lograron hacer que expulsaran dinero por un malware pero no recuerdo donde fue.
Si no se conectan a nada externo. Nada mas que una intranet donde no pueden conectarse a fuera. No debería pasar nada. Con que el usuario no pueda llegar a UI ni shell, ningún tipo de medio de entrada de datos que corrompa el sistema. Es difícil que altere su funcionamiento.
¿De qué Región económica del mundo estamos hablando?
No es lo mismo UE que Méjico.
Vivo en Españistán, hablo siempre de aquí.
pues aqui, una vez desmonté un datafono: detectó que lo había abierto y dejó de funcionar.
aquí son bastante seguros (te recuerdo de que la seguridad 100% no existe)
Pues mejor así, thanks.
