.jpg/1280px-New_Finnish_ID_card_(front_side).jpg)
Una tarjeta inteligente ( SC ), tarjeta con chip o tarjeta de circuito integrado ( ICC o tarjeta IC ), utilizada para controlar el acceso a un recurso. Por lo general, es una tarjeta de plástico del tamaño de una tarjeta de crédito con un chip de circuito integrado (IC) integrado. [1] Muchas tarjetas inteligentes incluyen un patrón de contactos metálicos para conectarse eléctricamente al chip interno. Otros son sin contacto y algunos son ambas cosas. Las tarjetas inteligentes pueden proporcionar identificación personal, autenticación, almacenamiento de datos y procesamiento de solicitudes. [2] Las aplicaciones incluyen identificación, finanzas, transporte público, seguridad informática, escuelas y atención médica. Las tarjetas inteligentes pueden proporcionar una autenticación de seguridad sólida para el inicio de sesión único (SSO) dentro de las organizaciones. Numerosos países han implementado tarjetas inteligentes entre sus poblaciones.
La tarjeta de circuito integrado universal (UICC) para teléfonos móviles, instalada como tarjeta SIM enchufable o eSIM integrada , también es un tipo de tarjeta inteligente. En 2015 [actualizar], se fabrican anualmente 10,5 mil millones de chips CI para tarjetas inteligentes, incluidos 5,44 mil millones de chips CI para tarjetas SIM. [3]
La base de la tarjeta inteligente es el chip de circuito integrado (IC) de silicio . [4] Fue inventado por Robert Noyce en Fairchild Semiconductor en 1959. La invención del circuito integrado de silicio llevó a la idea de incorporarlo en una tarjeta de plástico a finales de los años 1960. [4]
.jpg/1280px-1979_erste_G&D-Chipkarte_(8_Kontakte).jpg)
La idea de incorporar un chip de circuito integrado en una tarjeta de plástico fue presentada por primera vez por el ingeniero alemán Helmut Gröttrup . En febrero de 1967, Gröttrup presentó en Alemania Occidental las patentes DE1574074 [5] y DE1574075 [6] para un interruptor de identificación a prueba de manipulaciones basado en un dispositivo semiconductor y describió la comunicación sin contacto mediante acoplamiento inductivo. [7] Su uso principal estaba destinado a proporcionar claves individuales protegidas contra copia para liberar el proceso de extracción en gasolineras no tripuladas. En septiembre de 1968, Gröttrup, junto con Jürgen Dethloff como inversor, presentó otras patentes para este interruptor de identificación, primero en Austria [8] y en 1969 como solicitudes posteriores en los Estados Unidos, [9] [10] Gran Bretaña, Alemania Occidental. y otros países. [11]
De forma independiente, Kunitaka Arimura del Instituto de Tecnología Arimura en Japón desarrolló una idea similar de incorporar un circuito integrado en una tarjeta de plástico y presentó una patente de tarjeta inteligente en marzo de 1970. [4] [12] Al año siguiente, Paul Castrucci de IBM presentó una patente estadounidense titulada "Tarjeta de información" en mayo de 1971. [12]
En 1974, Roland Moreno patentó una tarjeta de memoria segura que más tarde se denominó "tarjeta inteligente". [13] [14] En 1976, Jürgen Dethloff introdujo el elemento conocido (llamado "el secreto") para identificar al usuario de la puerta a partir de la USP 4105156. [15]
En 1977, Michel Ugon de Honeywell Bull inventó la primera tarjeta inteligente con microprocesador con dos chips : un microprocesador y una memoria , y en 1978 patentó el microordenador autoprogramable de un solo chip (SPOM) que define la arquitectura necesaria para programar el chip. . Tres años después, Motorola utilizó esta patente en su "CP8". En ese momento, Bull tenía 1.200 patentes relacionadas con tarjetas inteligentes. En 2001, Bull vendió su división CP8 junto con sus patentes a Schlumberger , quien posteriormente combinó su propio departamento interno de tarjetas inteligentes y CP8 para crear Axalto . En 2006, Axalto y Gemplus, en ese momento los dos principales fabricantes de tarjetas inteligentes del mundo, se fusionaron y se convirtieron en Gemalto . En 2008, Dexa Systems se separó de Schlumberger y adquirió el negocio Enterprise Security Services, que incluía la división de soluciones de tarjetas inteligentes responsable de implementar los primeros sistemas de gestión de tarjetas inteligentes a gran escala basados en infraestructura de clave pública (PKI).
El primer uso masivo de las tarjetas fue como tarjeta telefónica para pagos en teléfonos públicos franceses , a partir de 1983. [16]
Después de Télécarte, en 1992 se integraron microchips en todas las tarjetas de débito Carte Bleue francesas. Los clientes insertaban la tarjeta en el terminal del punto de venta (POS) del comerciante y luego escribían el número de identificación personal (PIN) antes de que se aceptara la transacción. Sólo se procesan sin PIN transacciones muy limitadas (como el pago de pequeños peajes de autopista ).
Los sistemas de " monedero electrónico " basados en tarjetas inteligentes almacenan fondos en la tarjeta, de modo que los lectores no necesitan conectividad de red. Entraron en servicio europeo a mediados de los años 1990. Han sido comunes en Alemania ( Geldkarte ), Austria ( Quick Wertkarte ), Bélgica ( Proton ), Francia ( Moneo [17] ), Países Bajos ( Chipknip Chipper (fuera de servicio en 2015)), Suiza ("Cash"), Noruega ( " Mondex "), España ("Monedero 4B"), Suecia ("Cash", fuera de servicio en 2004), Finlandia ("Avant"), Reino Unido ("Mondex"), Dinamarca ("Danmønt") y Portugal ("Porta- "Moedas Multibanco"). También se han implementado sistemas privados de monedero electrónico, como el del Cuerpo de Marines (USMC) en Parris Island, que permite pagos de pequeñas cantidades en la cafetería.
Desde la década de 1990, las tarjetas inteligentes han sido los módulos de identidad de abonado (SIM) utilizados en los equipos de telefonía móvil GSM . Los teléfonos móviles se utilizan ampliamente en todo el mundo, por lo que las tarjetas inteligentes se han vuelto muy comunes.
Las tarjetas y equipos compatibles con Europay MasterCard Visa (EMV) están muy extendidos gracias a su implementación liderada por los países europeos. Estados Unidos comenzó a implementar la tecnología EMV en 2014, y la implementación aún está en progreso en 2019. Por lo general, la asociación de pagos nacional de un país, en coordinación con MasterCard International, Visa International, American Express y Japan Credit Bureau (JCB), planifican conjuntamente e implementar sistemas EMV.
Históricamente, en 1993 varias empresas de pagos internacionales acordaron desarrollar especificaciones de tarjetas inteligentes para tarjetas de débito y crédito. Las marcas originales fueron MasterCard, Visa y Europay . La primera versión del sistema EMV se lanzó en 1994. En 1998 las especificaciones se estabilizaron.
EMVCo mantiene estas especificaciones. El propósito de EMVco es asegurar a las diversas instituciones financieras y minoristas que las especificaciones conservan la compatibilidad con la versión de 1998. EMVco actualizó las especificaciones en 2000 y 2004. [18]
Las tarjetas compatibles con EMV se aceptaron por primera vez en Malasia en 2005 [19] y luego en Estados Unidos en 2014. MasterCard fue la primera empresa a la que se le permitió utilizar la tecnología en Estados Unidos. Estados Unidos se ha sentido presionado a utilizar la tecnología debido al aumento del robo de identidad . La información de la tarjeta de crédito robada de Target a finales de 2013 fue uno de los mayores indicadores de que la información de las tarjetas de crédito estadounidenses no está segura. Target tomó la decisión el 30 de abril de 2014 de que intentaría implementar la tecnología de chip inteligente para protegerse de futuros robos de identidad de tarjetas de crédito.
Antes de 2014, el consenso en Estados Unidos era que había suficientes medidas de seguridad para evitar el robo de tarjetas de crédito y que el chip inteligente no era necesario. El costo de la tecnología de chips inteligentes era significativo, razón por la cual la mayoría de las corporaciones en los Estados Unidos no querían pagar por ella. El debate finalmente terminó cuando Target envió un aviso [20] indicando que el acceso no autorizado a bandas magnéticas [21] que le costó a Target más de 300 millones de dólares junto con el costo creciente del robo de crédito en línea fue suficiente para que Estados Unidos invirtiera en la tecnología. La adaptación de los EMV aumentó significativamente en 2015 cuando se produjeron los cambios de responsabilidad en octubre por parte de las compañías de tarjetas de crédito. [ aclarar ] [ cita necesaria ]
Las tarjetas inteligentes sin contacto no requieren contacto físico entre la tarjeta y el lector. Se están volviendo más populares para pagos y emisión de boletos. Los usos típicos incluyen el transporte público y los peajes de autopistas. Visa y MasterCard implementaron una versión implementada entre 2004 y 2006 en los EE. UU., con la oferta actual de Visa llamada Visa Contactless . La mayoría de los sistemas de cobro de tarifas sin contacto son incompatibles, aunque la tarjeta estándar MIFARE de NXP Semiconductors tiene una cuota de mercado considerable en EE. UU. y Europa.
El uso de tarjetas inteligentes "sin contacto" en el transporte también ha aumentado gracias al uso de chips de bajo coste NXP Mifare Ultralight y papel/tarjeta/PET en lugar de PVC. Esto ha reducido el coste de los medios, por lo que se puede utilizar para billetes de bajo coste y pases de transporte de corta duración (normalmente hasta 1 año). El coste suele ser el 10% del de una tarjeta inteligente de PVC con mayor memoria. Se distribuyen a través de máquinas expendedoras, taquillas y agentes. El uso de papel/PET es menos perjudicial para el medio ambiente que las tradicionales tarjetas de PVC.
Las organizaciones regionales, nacionales e internacionales también están introduciendo tarjetas inteligentes para identificación y otorgamiento de derechos. Estos usos incluyen tarjetas de ciudadano, licencias de conducir y tarjetas de paciente. En Malasia , el documento de identidad nacional obligatorio MyKad permite ocho aplicaciones y tiene 18 millones de usuarios. Las tarjetas inteligentes sin contacto forman parte de los pasaportes biométricos de la OACI para mejorar la seguridad en los viajes internacionales.
Las tarjetas complejas son tarjetas inteligentes que cumplen con el estándar ISO/IEC 7810 e incluyen componentes además de los que se encuentran en las tarjetas inteligentes tradicionales de un solo chip. Las tarjetas complejas fueron inventadas por Cyril Lalo y Philippe Guillaud en 1999 cuando diseñaron una tarjeta inteligente con chip y componentes adicionales, partiendo del concepto inicial de utilizar frecuencias de audio para transmitir datos patentado por Alain Bernard. [22] El primer prototipo de tarjeta compleja fue desarrollado en colaboración por Cyril Lalo y Philippe Guillaud, que trabajaban en AudioSmartCard [23] en ese momento, y Henri Boccia y Philippe Patrice, que trabajaban en Gemplus . Cumplía con la norma ISO 7810 e incluía una batería, un zumbador piezoeléctrico, un botón y funciones de audio, todo dentro de una tarjeta de 0,84 mm de grosor.
El piloto Complex Card, desarrollado por AudioSmartCard, fue lanzado en 2002 por Crédit Lyonnais , una institución financiera francesa. Este piloto presentó tonos acústicos como medio de autenticación. Aunque las tarjetas complejas se desarrollaron desde el inicio de la industria de las tarjetas inteligentes, no alcanzaron su madurez hasta después de 2010.
Las tarjetas complejas pueden admitir varios periféricos, incluidos:
Mientras que las Tarjetas Complejas de primera generación funcionaban con baterías, la segunda generación no tiene baterías y recibe energía a través del conector habitual de la tarjeta y/o por inducción.
El sonido, generado por un timbre, fue el medio de comunicación preferido para los primeros proyectos relacionados con Complex Cards. Posteriormente, con el avance de las pantallas, la comunicación visual está presente en casi todas las Tarjetas Complejas.
Las Complex Cards soportan todos los protocolos de comunicación presentes en las tarjetas inteligentes convencionales: contacto, gracias a un pad de contacto según lo definido por la norma ISO/IEC 7816 , sin contacto según la norma ISO/IEC 14443 y banda magnética.
Los desarrolladores de Tarjetas Complejas abordan varias necesidades al desarrollarlas:
Se puede utilizar una tarjeta compleja para calcular un valor criptográfico, como una contraseña de un solo uso . La contraseña de un solo uso es generada por un criptoprocesador encapsulado en la tarjeta. Para implementar esta función, el procesador criptográfico debe inicializarse con un valor semilla, que permite la identificación de las OTP respectivas de cada tarjeta. El hash del valor inicial debe almacenarse de forma segura dentro de la tarjeta para evitar predicciones no autorizadas de las OTP generadas.
La generación de contraseñas de un solo uso se basa en valores incrementales (basado en eventos) o en un reloj de tiempo real (basado en tiempo). El uso de la generación de contraseña de un solo uso basada en reloj requiere que la tarjeta compleja esté equipada con un reloj en tiempo real .
Las tarjetas complejas utilizadas para generar contraseñas únicas han sido desarrolladas para:
Una Tarjeta Compleja con botones puede mostrar el saldo de una o varias cuentas vinculadas a la tarjeta. Normalmente, se utiliza un botón para mostrar el saldo en el caso de una tarjeta de cuenta única o, en el caso de una tarjeta vinculada a varias cuentas, se utiliza una combinación de botones para seleccionar el saldo de una cuenta específica.
Para mayor seguridad, se pueden agregar a una tarjeta compleja funciones como requerir que el usuario ingrese una identificación o un valor de seguridad como un PIN .
Las tarjetas complejas utilizadas para proporcionar información de cuentas se han desarrollado para:
La última generación de tarjetas complejas sin batería ni botones puede mostrar un saldo u otro tipo de información sin necesidad de ninguna intervención por parte del titular de la tarjeta. La información se actualiza durante el uso de la tarjeta. Por ejemplo, en una tarjeta de transporte se puede mostrar información clave como el saldo del valor monetario, el número de viajes restantes o la fecha de caducidad de un pase de transporte.
Una Tarjeta Compleja que se implemente como tarjeta de pago puede equiparse con la capacidad de brindar seguridad en las transacciones. Normalmente, los pagos online se realizan de forma segura gracias al Código de Seguridad de la Tarjeta (CSC) , también conocido como código de verificación de la tarjeta (CVC2), o valor de verificación de la tarjeta (CVV2). El código de seguridad de la tarjeta (CSC) es un número de 3 o 4 dígitos impreso en una tarjeta de crédito o débito, que se utiliza como característica de seguridad para transacciones con tarjetas de pago sin tarjeta presente (CNP) para reducir la incidencia de fraude.
El titular de la tarjeta debe entregarle al comerciante el código de seguridad de la tarjeta (CSC) para completar una transacción sin tarjeta presente. El CSC se transmite junto con otros datos de la transacción y el emisor de la tarjeta lo verifica. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) prohíbe el almacenamiento del CSC por parte del comerciante o cualquier parte interesada en la cadena de pago. Aunque está diseñado para ser una característica de seguridad, el CSC estático es susceptible al fraude, ya que un dependiente de una tienda puede memorizarlo fácilmente, quien luego podría usarlo para transacciones fraudulentas en línea o ventas en la web oscura.
Esta vulnerabilidad ha llevado a la industria a desarrollar un Código de seguridad de tarjeta dinámica (DCSC) que se puede cambiar en ciertos intervalos de tiempo, o después de cada transacción EMV con o sin contacto. Este CSC dinámico ofrece una seguridad significativamente mejor que un CSC estático.
La primera generación de tarjetas Dynamic CSC, desarrollada por NagraID Security, requería una batería, un cuarzo y un reloj de tiempo real (RTC) integrado dentro de la tarjeta para alimentar el cálculo de un nuevo Dynamic CSC, después de la expiración del período programado.
La segunda generación de tarjetas Dynamic CSC, desarrolladas por Ellipse World, Inc., no requiere batería, cuarzo ni RTC para calcular y mostrar el nuevo código dinámico. En cambio, la tarjeta obtiene su energía a través del conector de tarjeta habitual o por inducción durante cada transacción EMV desde el terminal de punto de venta (POS) o cajero automático (ATM) para calcular un nuevo DCSC.
El CSC Dinámico, también llamado criptograma dinámico, es comercializado por varias empresas, bajo diferentes marcas:
La ventaja del Código Dinámico de Seguridad de la Tarjeta (DCSC) es que se transmite nueva información con las transacciones de pago, por lo que resulta inútil para un posible estafador memorizarla o almacenarla. Una transacción con Código de Seguridad Dinámico de Tarjeta se realiza exactamente de la misma manera, con los mismos procesos y uso de parámetros que una transacción con código estático en una transacción sin tarjeta presente. La actualización a un DCSC permite a los titulares de tarjetas y comerciantes continuar con sus hábitos y procesos de pago sin interrupciones.
Las tarjetas complejas pueden equiparse con sensores biométricos que permiten una autenticación de usuario más sólida. En el caso de uso típico, los sensores de huellas dactilares se integran en una tarjeta de pago para brindar un nivel más alto de autenticación de usuario que un PIN.
Para implementar la autenticación de usuario utilizando una tarjeta inteligente habilitada para huellas dactilares, el usuario debe autenticarse en la tarjeta mediante la huella digital antes de iniciar una transacción de pago.
Varias empresas [29] ofrecen tarjetas con sensores de huellas dactilares, entre ellas:
Las Tarjetas Complejas pueden incorporar una amplia variedad de componentes. La elección de componentes impulsa la funcionalidad, influye en el costo, las necesidades de suministro de energía y la complejidad de fabricación.
Dependiendo del tipo de Tarjeta Compleja, se han agregado botones para permitir una fácil interacción entre el usuario y la tarjeta. Normalmente, estos botones se utilizan para:
Si bien en los primeros días se utilizaron teclas separadas en los prototipos, los teclados capacitivos son la solución más popular ahora, gracias a los desarrollos tecnológicos de AudioSmartCard International SA. [30]
La interacción con un teclado capacitivo requiere energía constante, por lo que se requiere una batería y un botón mecánico para activar la tarjeta.
Las primeras Complex Cards estaban equipadas con un timbre que permitía transmitir sonido. Esta función se utilizaba generalmente por teléfono para enviar datos de identificación, como un identificador y contraseñas de un solo uso (OTP). Las tecnologías utilizadas para la transmisión de sonido incluyen DTMF ( señalización multifrecuencia de doble tono ) o FSK ( codificación por desplazamiento de frecuencia ).
Las empresas que ofrecen tarjetas con timbre incluyen:
Mostrar datos es una parte esencial de las funcionalidades de Complex Card. Dependiendo de la información que se quiera mostrar, las pantallas pueden ser digitales o alfanuméricas y de diferentes longitudes. Las pantallas pueden ubicarse en el frente o en el reverso de la tarjeta. Una pantalla frontal es la solución más común para mostrar información como una contraseña de un solo uso o el saldo de un monedero electrónico. Una pantalla trasera se utiliza con mayor frecuencia para mostrar un código de seguridad de tarjeta dinámica (DCSC).
Las pantallas se pueden realizar utilizando dos tecnologías:
Si una Tarjeta inteligente Compleja se dedica a realizar cálculos criptográficos como generar un; contraseña de un solo uso, es posible que requiera un criptoprocesador seguro .
Como las tarjetas complejas contienen más componentes que las tarjetas inteligentes tradicionales, su consumo de energía debe controlarse cuidadosamente.
Las Tarjetas Complex de primera generación requieren fuente de alimentación incluso en modo de espera. Como tal, los diseñadores de productos generalmente incluían una batería en su diseño. La incorporación de una batería crea una carga adicional en términos de complejidad, costo, espacio y flexibilidad en un diseño ya de por sí denso. Incluir una batería en una Tarjeta Compleja aumenta la complejidad del proceso de fabricación, ya que una batería no se puede laminar en caliente.
Las tarjetas Complex de segunda generación presentan un diseño sin batería. Estas tarjetas obtienen la energía necesaria de fuentes externas; por ejemplo, cuando la tarjeta interactúa con o sin contacto con un sistema de pago o un teléfono inteligente con NFC. El uso de una pantalla biestable en el diseño de la tarjeta garantiza que la pantalla permanezca legible incluso cuando la tarjeta compleja está desconectada de la fuente de alimentación.
Los métodos complejos de fabricación de tarjetas se heredan de la industria de las tarjetas inteligentes y de la industria del montaje de productos electrónicos. Como las tarjetas complejas incorporan varios componentes teniendo que permanecer dentro de los 0,8 mm de espesor y ser flexibles, y cumplir con las normas ISO/IEC 7810 , ISO/IEC 7811 e ISO/IEC 7816 , hace que su fabricación sea más compleja que las tarjetas inteligentes estándar.
Uno de los procesos de fabricación más populares en la industria de las tarjetas inteligentes es la laminación. Este proceso implica laminar una incrustación entre dos caras de la tarjeta. El inlay contiene los componentes electrónicos necesarios con una antena impresa sobre un soporte inerte.
Normalmente, las tarjetas complejas que funcionan con baterías requieren un proceso de fabricación de laminación en frío. Este proceso afecta el tiempo de fabricación y el costo total de dicha Tarjeta Compleja.
Las tarjetas complejas de segunda generación, sin baterías, se pueden fabricar mediante el proceso de laminación en caliente existente. Este proceso automatizado, heredado de la fabricación tradicional de tarjetas inteligentes, permite la producción de Tarjetas Complejas en grandes cantidades manteniendo los costes bajo control, una necesidad para la evolución de un mercado de nicho a uno de masas.
Al igual que las tarjetas inteligentes estándar, las tarjetas complejas pasan por un ciclo de vida que comprende los siguientes pasos:
Como las Tarjetas Complejas aportan más funcionalidades que las tarjetas inteligentes estándar y, debido a su complejidad, su personalización puede llevar más tiempo o requerir más entradas. Tener tarjetas complejas que pueden personalizarse con las mismas máquinas y los mismos procesos que las tarjetas inteligentes normales les permite integrarse más fácilmente en las cadenas y aplicaciones de fabricación existentes.
Las Tarjetas Complex de primera generación que funcionan con baterías requieren procesos de reciclaje específicos , exigidos por diferentes organismos reguladores. Además, mantener en el inventario tarjetas complejas que funcionan con baterías durante períodos prolongados puede reducir su rendimiento debido al envejecimiento de la batería .
La tecnología sin batería de segunda generación garantiza el funcionamiento durante toda la vida útil de la tarjeta y elimina la autodescarga, lo que proporciona una mayor vida útil y es más ecológica.
Desde la aparición de las tarjetas inteligentes, los innovadores han intentado agregar funciones adicionales. A medida que las tecnologías han madurado y se han industrializado, varios actores de la industria de las tarjetas inteligentes han participado en las tarjetas complejas.
El concepto de tarjeta compleja comenzó en 1999 cuando Cyril Lalo y Philippe Guillaud, sus inventores, diseñaron por primera vez una tarjeta inteligente con componentes adicionales. El primer prototipo fue desarrollado en colaboración por Cyril Lalo, entonces director general de AudioSmartCard, y Henri Boccia y Philippe Patrice, de Gemplus. El prototipo incluía un botón y funciones de audio en una tarjeta compatible con ISO 7810 de 0,84 mm de grosor.
Desde entonces, las tarjetas complejas han sido implementadas masivamente principalmente por NagraID Security.
AudioSmartCard International SA [33] jugó un papel decisivo en el desarrollo de la primera tarjeta compleja que incluía una batería, un zumbador piezoeléctrico, un botón y funciones de audio, todo en una tarjeta compatible con ISO 7810 de 0,84 mm de grosor.
AudioSmartCard se fundó en 1993 y se especializó en el desarrollo y comercialización de tokens acústicos que incorporan elementos de seguridad. Estos tokens acústicos intercambiaban datos en forma de sonidos transmitidos a través de una línea telefónica. En 1999, AudioSmartCard pasó a asumir un nuevo liderazgo bajo la dirección de Cyril Lalo y Philippe Guillaud, quienes también se convirtieron en accionistas importantes. Hicieron que AudioSmartCard evolucionara hacia el mundo de las tarjetas inteligentes. En 2003, Prosodie, [34] filial de Capgemini , se unió al accionista de AudioSmartCard.
AudioSmartCard pasó a llamarse nCryptone, [35] en 2004.
CardLab Innovation, [36] constituida en 2006 en Herlev, Dinamarca, se especializa en tarjetas complejas que incluyen un interruptor, un lector biométrico, un bloqueador de RFID y una o más bandas magnéticas. La empresa trabaja con socios fabricantes en China y Tailandia y posee una fábrica de laminación de tarjetas en Tailandia.
Coin era una startup con sede en EE. UU. [37] fundada en 2012 por Kanishk Parashar. [38] Desarrolló una Tarjeta Compleja capaz de almacenar los datos de varias tarjetas de crédito y débito. El prototipo de tarjeta estaba equipado con una pantalla [39] [ cita completa necesaria ] y un botón que permitía al usuario cambiar entre diferentes tarjetas. En 2015, el concepto original de la tarjeta Coin evolucionó hasta convertirse en Coin 2.0, añadiendo comunicación sin contacto a su emulación de banda magnética original. [40]
Fitbit adquirió Coin en mayo de 2016 [41] y todas las actividades de Coin se interrumpieron en febrero de 2017. [42]
Ellipse World, Inc. [43] fue fundada en 2017 por Cyril Lalo y Sébastien Pochic, ambos reconocidos expertos en tecnología de tarjetas complejas. Ellipse World, Inc. se especializa en tecnología de tarjetas complejas sin batería.
Las tecnologías patentadas de Ellipse permiten a los fabricantes de tarjetas inteligentes utilizar su actual proceso de fabricación de tarjetas de pago de interfaz dual y su cadena de suministro para crear tarjetas complejas de segunda generación sin baterías con capacidades de visualización. Gracias a esta facilidad de integración, los proveedores de tarjetas inteligentes pueden abordar los mercados bancario, de tránsito y de tarjetas prepagas.
EMue [44] Technologies, con sede en Melbourne, Australia, diseñó y desarrolló soluciones de autenticación para la industria de servicios financieros de 2009 a 2015. [45] El producto estrella de la empresa, desarrollado en colaboración con Cyril Lalo y Philippe Guillaud, fue la tarjeta eMue, una tarjeta de crédito Visa CodeSure [46] con un teclado integrado, una pantalla y un microprocesador.
Feitian Technologies, una empresa con sede en China creada en 1998, ofrece productos y soluciones de seguridad cibernética. La empresa ofrece soluciones de seguridad basadas en tarjetas inteligentes y otros dispositivos de autenticación. Entre ellas se encuentran las Tarjetas Complejas, que incorporan un display, [47] un teclado [48] o un sensor de huellas dactilares. [49]
Fingerprint Cards AB (o Fingerprints [50] ) es una empresa sueca especializada en soluciones biométricas. La empresa vende sensores biométricos y recientemente ha introducido tarjetas de pago que incorporan un sensor de huellas dactilares [51] , como la tarjeta Zwipe, [52] una tarjeta de pago biométrica de doble interfaz que utiliza un sensor integrado de Fingerprints.
Giesecke & Devrient , también conocida como G+D, [53] es una empresa alemana con sede en Múnich que ofrece billetes de banco, impresión de seguridad, tarjetas inteligentes y sistemas de gestión de efectivo. Su cartera de tarjetas inteligentes incluye tarjetas gráficas, tarjetas OTP y tarjetas que muestran un CSC dinámico.
Gemalto , una división de Thales Group , es un actor importante en la industria de transacciones seguras. La cartera de tarjetas Complex Card de la empresa incluye tarjetas con pantalla [54] o sensor de huellas dactilares. [55] Estas tarjetas pueden mostrar una OTP [56] o un CSC dinámico. [57]
IDEMIA es el producto de la fusión de 2017 [58] de Oberthur Technologies y Morpho. La empresa combinada se ha posicionado como proveedor global de tarjetas financieras, tarjetas SIM, dispositivos biométricos y soluciones de identidad pública y privada. Debido a la adquisición de NagraID Security por parte de Oberthur en 2014, las ofertas de tarjetas complejas de Idemia incluyen la tarjeta de pago biométrico F.CODE [59] que incluye un sensor de huellas dactilares y su tarjeta Motion Code [60] alimentada por batería que muestra un CSC dinámico.
IDEX Biometrics ASA, constituida en Noruega, se especializa en tecnologías de identificación de huellas dactilares para autenticación personal. La empresa ofrece sensores de huellas dactilares [61] y módulos [62] que están listos para integrarse en tarjetas. [63]
Fundada en 2002 por Alan Finkelstein, Innovative Card Technologies desarrolló y comercializó mejoras para el mercado de tarjetas inteligentes. La empresa adquirió los activos de tarjetas gráficas de nCryptone [64] en 2006. Innovative Card Technologies ha cesado sus actividades.
Nagra ID, ahora conocida como NID, [65] fue una subsidiaria de propiedad total del Grupo Kudelski hasta 2014. NID puede rastrear su historia con Complex Cards hasta 2003, cuando colaboró en el desarrollo con nCryptone. Nagra ID jugó un papel decisivo en el desarrollo del proceso de laminación en frío para la fabricación de tarjetas complejas.
Nagra ID fabrica tarjetas complejas [66] que pueden incluir una batería, botones, pantallas u otros componentes electrónicos.
Nagra ID Security comenzó en 2008 como una escisión de Nagra ID para centrarse en el desarrollo y la fabricación de tarjetas complejas. La empresa era propiedad del Grupo Kudelski (50%), Cyril Lalo (25%) y Philippe Guillaud (25%).
NagraID Security se convirtió rápidamente en un actor líder en la adopción de tarjetas complejas debido, en gran parte, a su desarrollo de tarjetas MotionCode que presentaban una pequeña pantalla para habilitar un código de seguridad de tarjeta (CVV2) .
NagraID Security fue el primer fabricante de tarjetas complejas en desarrollar un mercado masivo para tarjetas gráficas de pago. Entre sus clientes se encontraban:
NagraID Security también entregó tarjetas de contraseña única a empresas que incluyen:
En 2014, NagraID Security se vendió a Oberthur Technologies (ahora IDEMIA ).
nCryptone surgió en 2004 a partir del cambio de nombre de AudioSmartCard. nCryptone estaba dirigida por Cyril Lalo y Philippe Guillaud [68] y desarrolló tecnologías en torno a servidores y dispositivos de autenticación.
Los activos de tarjetas gráficas de nCryptone fueron adquiridos por Innovative Card Technologies en 2006. [69]
Oberthur Technologies , ahora IDEMIA , es uno de los principales actores en la industria de transacciones seguras. Adquirió el negocio de NagraID Security en 2014. Luego, Oberthur se fusionó con Morpho y la entidad combinada pasó a llamarse Idemia en 2017.
Las principales referencias en el negocio de Tarjetas Complejas incluyen:
Creada en 2009, Plastc anunció una única tarjeta que podía almacenar digitalmente los datos de hasta 20 tarjetas de crédito o débito. La empresa logró recaudar 9 millones de dólares mediante pedidos anticipados, pero no entregó ningún producto. [73] Plasc fue adquirida [74] en 2017 por Edge Mobile Payments, [75] una empresa de tecnología financiera con sede en Santa Cruz. El proyecto Plastc continúa como la tarjeta Edge, [76] una tarjeta de pago dinámica que consolida varias tarjetas de pago en un solo dispositivo. La tarjeta está equipada con una batería y una pantalla ePaper y puede almacenar datos de hasta 50 tarjetas de crédito, débito, fidelización y regalo.
Stratos [77] fue creado en 2012 en Ann Arbor, Michigan, EE. UU. En 2015, Stratos desarrolló la tarjeta conectada Bluetooth Stratos, [78] que fue diseñada para integrar hasta tres tarjetas de crédito y débito en un solo formato de tarjeta y presentaba una aplicación de teléfono inteligente utilizada para administrar la tarjeta. Debido a su batería de película delgada de iones de litio, la tarjeta Stratos estaba equipada con LED y se comunicaba en modo sin contacto y en Bluetooth de bajo consumo.
En 2017, Stratos fue adquirida [79] por CardLab Innovation, una empresa con sede en Herlev, Dinamarca.
SWYP [80] era la marca de una tarjeta desarrollada por Qvivr, una empresa constituida en 2014 en Fremont, California. SWYP se introdujo en 2015 y se denominó la primera billetera inteligente del mundo. SWYP era una tarjeta de metal con la capacidad de combinar más de 25 tarjetas de crédito, débito, regalo y fidelización. La tarjeta funcionaba junto con una aplicación de teléfono inteligente utilizada para gestionar las tarjetas. La tarjeta Swyp incluía una batería, un botón y una pantalla matricial que mostraba qué tarjeta estaba en uso. La empresa registró usuarios en su programa de prueba beta, pero el producto nunca se lanzó a escala comercial.
Qvivr recaudó 5 millones de dólares en enero de 2017 [81] y cerró en noviembre de 2017.
Las Tarjetas Complejas han sido adoptadas por numerosas instituciones financieras en todo el mundo. Pueden incluir diferentes funcionalidades como tarjetas de pago (crédito, débito, prepago), Contraseña de un solo uso , transporte masivo y Código de Seguridad de Tarjeta dinámico (CVV2) .
La tecnología Complex Card es utilizada por numerosas instituciones financieras, entre ellas:
Una tarjeta inteligente podrá tener las siguientes características genéricas:
Desde abril de 2009, una empresa japonesa fabrica tarjetas inteligentes financieras reutilizables hechas de papel. [98]
Como se mencionó anteriormente, los datos de una tarjeta inteligente pueden almacenarse en un sistema de archivos (FS). En los sistemas de archivos de tarjetas inteligentes, el directorio raíz se denomina "archivo maestro" ("MF"), los subdirectorios se denominan "archivos dedicados" ("DF") y los archivos normales se denominan "archivos elementales" ("EF"). [99]
El sistema de archivos mencionado anteriormente se almacena en una EEPROM (almacenamiento o memoria) dentro de la tarjeta inteligente. [99] Además de la EEPROM, pueden estar presentes otros componentes, dependiendo del tipo de tarjeta inteligente. La mayoría de las tarjetas inteligentes tienen uno de tres diseños lógicos:
En las tarjetas con microprocesadores, el microprocesador se encuentra en línea entre el lector y los demás componentes. El sistema operativo que se ejecuta en el microprocesador media el acceso del lector a esos componentes para evitar el acceso no autorizado. [99]
Las tarjetas inteligentes de contacto tienen un área de contacto de aproximadamente 1 centímetro cuadrado (0,16 pulgadas cuadradas) y comprenden varias almohadillas de contacto chapadas en oro . Estas almohadillas proporcionan conectividad eléctrica cuando se insertan en un lector , [102] que se utiliza como medio de comunicación entre la tarjeta inteligente y un host (por ejemplo, una computadora, un terminal de punto de venta) o un teléfono móvil. Las tarjetas no contienen pilas ; La energía es suministrada por el lector de tarjetas.
Las series de normas ISO/IEC 7810 e ISO/IEC 7816 definen:
Debido a que los chips de las tarjetas financieras son los mismos que los utilizados en los módulos de identidad de abonado (SIM) de los teléfonos móviles, programados de manera diferente e integrados en una pieza diferente de PVC , los fabricantes de chips están construyendo según los estándares GSM/3G, más exigentes. Así, por ejemplo, aunque el estándar EMV permite que una tarjeta con chip extraiga 50 mA de su terminal, las tarjetas normalmente están muy por debajo del límite de 6 mA de la industria telefónica. Esto permite terminales de tarjetas financieras más pequeños y económicos.
Los protocolos de comunicación para tarjetas inteligentes de contacto incluyen T=0 (protocolo de transmisión a nivel de caracteres, definido en ISO/IEC 7816-3) y T=1 (protocolo de transmisión a nivel de bloque, definido en ISO/IEC 7816-3).
Las tarjetas inteligentes sin contacto se comunican con los lectores según los protocolos definidos en el estándar ISO/IEC 14443 . Admiten velocidades de datos de 106 a 848 kbit/s. Estas tarjetas sólo requieren proximidad a una antena para comunicarse. Al igual que las tarjetas inteligentes con contactos, las tarjetas sin contacto no tienen una fuente de alimentación interna. En su lugar, utilizan una bobina de antena de bucle para capturar parte de la señal de interrogación de radiofrecuencia incidente, rectificarla y utilizarla para alimentar los componentes electrónicos de la tarjeta. Los medios inteligentes sin contacto se pueden fabricar con PVC, papel/tarjeta y acabado PET para cumplir con diferentes requisitos de rendimiento, costo y durabilidad.
La transmisión APDU mediante una interfaz sin contacto se define en ISO/IEC 14443 -4.
Las tarjetas híbridas implementan interfaces de contacto y sin contacto en una sola tarjeta con chips desconectados que incluyen módulos/almacenamiento y procesamiento dedicados.
Las tarjetas de interfaz dual implementan interfaces de contacto y sin contacto en un solo chip con algo de almacenamiento y procesamiento compartido. Un ejemplo es la tarjeta de transporte multiaplicación de Porto , llamada Andante , que utiliza un chip con interfaces tanto de contacto como sin contacto (ISO/IEC 14443 Tipo B). Numerosas tarjetas de pago en todo el mundo se basan en tecnología de tarjetas híbridas que les permite comunicarse tanto en modo contacto como sin contacto.
El CCID (Dispositivo de interfaz de tarjeta con chip) es un protocolo USB que permite conectar una tarjeta inteligente a una computadora mediante un lector de tarjetas que tiene una interfaz USB estándar. Esto permite que la tarjeta inteligente se utilice como token de seguridad para autenticación y cifrado de datos, como Bitlocker . Un CCID típico es una llave USB y puede contener una tarjeta SIM.
Diferentes tarjetas inteligentes implementan uno o más protocolos del lado del lector. Los protocolos comunes aquí incluyen CT-API y PC/SC . [99]
Los sistemas operativos de tarjetas inteligentes pueden proporcionar interfaces de programación de aplicaciones (API) para que los desarrolladores puedan escribir programas ("aplicaciones") para ejecutar en la tarjeta inteligente. Algunas de estas API, como Java Card , permiten cargar programas en la tarjeta sin reemplazar todo el sistema operativo de la tarjeta. [99]
Las tarjetas inteligentes sirven como tarjetas de crédito o de cajero automático , tarjetas de combustible , tarjetas SIM para teléfonos móviles , tarjetas de autorización para televisión de pago, tarjetas de prepago de servicios domésticos, tarjetas de identificación y acceso de alta seguridad , y tarjetas de pago para transporte público y teléfonos públicos.
Las tarjetas inteligentes también pueden utilizarse como billeteras electrónicas . El chip de la tarjeta inteligente se puede "cargar" con fondos para pagar parquímetros, máquinas expendedoras o comercios. Los protocolos criptográficos protegen el intercambio de dinero entre la tarjeta inteligente y la máquina. No se necesita conexión a un banco. El titular de la tarjeta podrá utilizarla aunque no sea el titular. Algunos ejemplos son Proton , Geldkarte , Chipknip y Moneo . La Geldkarte alemana también se utiliza para validar la edad de los clientes en las máquinas expendedoras de cigarrillos.
Estas son las tarjetas de pago más conocidas (clásica tarjeta plástica):
Las implementaciones comenzaron en 2005 en EE. UU., Asia y Europa y siguieron en 2006. Las transacciones sin contacto (sin PIN) cubren un rango de pago de ~5 a 50 dólares. Existe una implementación PayPass ISO/IEC 14443 . Algunas implementaciones de PayPass, pero no todas, se ajustan a EMV.
Las tarjetas que no son EMV funcionan como tarjetas de banda magnética . Esto es común en los EE. UU. (PayPass Magstripe y Visa MSD). Las tarjetas no retienen ni mantienen el saldo de la cuenta. Todos los pagos se realizan sin PIN, generalmente en modo fuera de línea. La seguridad de dicha transacción no es mayor que la de una transacción con tarjeta de banda magnética. [ cita necesaria ]
Las tarjetas EMV pueden tener interfaces de contacto o sin contacto. Funcionan como si fuera una tarjeta EMV normal con interfaz de contacto. A través de la interfaz sin contacto funcionan de manera algo diferente, ya que los comandos de la tarjeta permitieron características mejoradas como menor consumo y tiempos de transacción más cortos. Los estándares EMV incluyen disposiciones para comunicaciones con y sin contacto. Normalmente, las tarjetas de pago modernas se basan en tecnología de tarjetas híbridas y admiten modos de comunicación tanto con contacto como sin contacto.
Los módulos de identidad de abonado utilizados en los sistemas de telefonía móvil son tarjetas inteligentes de tamaño reducido, que por lo demás utilizan tecnologías idénticas.
Las tarjetas inteligentes pueden autenticar la identidad. A veces emplean una infraestructura de clave pública (PKI). La tarjeta almacena un certificado digital cifrado emitido por el proveedor de PKI junto con otra información relevante. Los ejemplos incluyen la Tarjeta de Acceso Común (CAC ) del Departamento de Defensa de EE. UU. (DoD) y otras tarjetas utilizadas por otros gobiernos para sus ciudadanos. Si incluyen datos de identificación biométrica, las tarjetas pueden proporcionar una autenticación superior de dos o tres factores.
Las tarjetas inteligentes no siempre mejoran la privacidad, porque el sujeto puede contener información incriminatoria en la tarjeta. Las tarjetas inteligentes sin contacto que pueden leerse desde una billetera o incluso una prenda simplifican la autenticación; sin embargo, los delincuentes pueden acceder a los datos de estas tarjetas.
Las tarjetas inteligentes criptográficas se utilizan a menudo para el inicio de sesión único . Las tarjetas inteligentes más avanzadas incluyen hardware criptográfico especializado que utiliza algoritmos como RSA y el algoritmo de firma digital (DSA). Las tarjetas inteligentes criptográficas actuales generan pares de claves a bordo, para evitar el riesgo de tener más de una copia de la clave (ya que, por diseño, generalmente no existe una forma de extraer claves privadas de una tarjeta inteligente). Estas tarjetas inteligentes se utilizan principalmente para firmas digitales e identificación segura.
La forma más común de acceder a las funciones de tarjetas inteligentes criptográficas en una computadora es utilizar una biblioteca PKCS#11 proporcionada por el proveedor . [ cita necesaria ] En Microsoft Windows también se admite la API del proveedor de servicios criptográficos (CSP).
Los algoritmos criptográficos más utilizados en tarjetas inteligentes (excluyendo el llamado "algoritmo criptográfico" GSM) son Triple DES y RSA . El conjunto de claves normalmente se carga (DES) o se genera (RSA) en la tarjeta en la etapa de personalización.
Algunas de estas tarjetas inteligentes también están diseñadas para admitir el estándar del Instituto Nacional de Estándares y Tecnología (NIST) para la verificación de identidad personal , FIPS 201 .
Turquía implementó el primer sistema de licencia de conducir con tarjeta inteligente en 1987. Turquía tenía un alto nivel de accidentes de tráfico y decidió desarrollar y utilizar dispositivos de tacógrafo digital en vehículos pesados, en lugar de los mecánicos existentes, para reducir las infracciones de velocidad. Desde 1987, los permisos de conducir profesionales en Turquía se emiten como tarjetas inteligentes. Un conductor profesional debe insertar su licencia de conducir en un tacógrafo digital antes de comenzar a conducir. La unidad de tacógrafo registra las infracciones de velocidad de cada conductor y emite un informe impreso. También se monitorean e informan las horas de conducción de cada conductor. En 1990, la Unión Europea llevó a cabo un estudio de viabilidad a través de BEVAC Consulting Engineers, titulado "Estudio de viabilidad con respecto a una licencia de conducir electrónica europea (basada en una tarjeta inteligente) por encargo de la Dirección General VII". En este estudio, el capítulo siete describe la experiencia de Turquía.
La provincia argentina de Mendoza comenzó a utilizar licencias de conducir con tarjetas inteligentes en 1995. Mendoza también tenía un alto nivel de accidentes viales, infracciones de tránsito y un pobre historial de recuperación de multas. [ cita necesaria ] Las licencias inteligentes contienen registros actualizados de infracciones de conducción y multas impagas. También almacenan información personal, tipo y número de licencia y una fotografía. La información médica de emergencia, como el tipo de sangre, las alergias y los datos biométricos (huellas dactilares), se puede almacenar en el chip si el titular de la tarjeta lo desea. El gobierno argentino prevé que este sistema ayudará a recaudar más de 10 millones de dólares al año en multas.
En 1999 , Gujarat fue el primer estado indio en introducir un sistema de licencias de tarjetas inteligentes. [103] Hasta 2005, ha emitido 5 millones de permisos de conducir con tarjetas inteligentes a su población. [104]
En 2002, el gobierno de Estonia comenzó a emitir tarjetas inteligentes denominadas ID Kaart como identificación principal para los ciudadanos en sustitución del pasaporte habitual en el uso nacional y de la UE. Hasta 2010 se han emitido alrededor de 1 millón de tarjetas inteligentes (la población total es de aproximadamente 1,3 millones) y se utilizan ampliamente en la banca por Internet, la compra de billetes de transporte público, la autorización en varios sitios web, etc.
A principios de 2009, toda la población de Bélgica recibió tarjetas de identificación electrónicas que se utilizan para la identificación. Estas tarjetas contienen dos certificados: uno de autenticación y otro de firma. Esta firma es legalmente ejecutable. Cada vez más servicios en Bélgica utilizan la identificación electrónica para la autorización . [105]
España comenzó a emitir documentos nacionales de identidad (DNI) en forma de tarjetas inteligentes en 2006 y gradualmente reemplazó todas las más antiguas por tarjetas inteligentes. La idea era que muchos o la mayoría de los actos burocráticos se pudieran hacer online pero fue un fracaso porque la Administración no se adaptó y todavía exige mayoritariamente documentos en papel y presencia personal. [106] [107] [108] [109]
El 14 de agosto de 2012, se reemplazaron los documentos de identidad en Pakistán . La Tarjeta Inteligente es un documento de identidad basado en chip de tercera generación que se produce de acuerdo con estándares y requisitos internacionales. La tarjeta tiene más de 36 características de seguridad física y tiene los códigos de cifrado [ se necesita aclaración ] más recientes . Esta tarjeta inteligente reemplazó a la NICOP (la tarjeta de identificación para los paquistaníes en el extranjero ).
Las tarjetas inteligentes pueden identificar a los socorristas y sus habilidades. Tarjetas como estas permiten a los socorristas evitar el papeleo organizacional y dedicar más tiempo a la resolución de la emergencia. En 2004, The Smart Card Alliance expresó las necesidades: "mejorar la seguridad, aumentar la eficiencia del gobierno, reducir el fraude de identidad y proteger la privacidad personal mediante el establecimiento de un estándar obligatorio a nivel gubernamental para formas de identificación seguras y confiables". [110] El personal de respuesta a emergencias puede llevar estas tarjetas para ser identificado positivamente en situaciones de emergencia. WidePoint Corporation , un proveedor de tarjetas inteligentes de FEMA , produce tarjetas que contienen información personal adicional, como registros médicos y conjuntos de habilidades.
En 2007, Open Mobile Alliance (OMA) propuso un nuevo estándar que define V1.0 del Smart Card Web Server (SCWS), un servidor HTTP integrado en una tarjeta SIM destinado a un usuario de teléfono inteligente . [111] La asociación comercial sin fines de lucro SIMalliance ha estado promoviendo el desarrollo y la adopción de SCWS. SIMalliance afirma que SCWS ofrece a los usuarios finales una interfaz familiar basada en navegador, independiente del sistema operativo , para proteger los datos personales de la SIM. A mediados de 2010, SIMalliance no había informado de una aceptación generalizada del SCWS en la industria. [112] La OMA ha estado manteniendo el estándar, aprobando la V1.1 de la norma en mayo de 2009, y se esperaba que la V1.2 fuera aprobada en octubre de 2012. [113]
Las tarjetas inteligentes también se utilizan para identificar cuentas de usuario en máquinas recreativas. [114]
Muchos operadores de transporte público utilizan tarjetas inteligentes, utilizadas como pases de transporte , y emisión de billetes integrados . Los usuarios de tarjetas también pueden realizar pequeñas compras con ellas. Algunos operadores ofrecen puntos por uso, canjeados en comercios minoristas o por otros beneficios. [115] Los ejemplos incluyen CEPAS de Singapur , Touch n Go de Malasia, tarjeta Presto de Ontario , tarjeta Octopus de Hong Kong , tarjetas Suica y PASMO de Tokio , tarjeta Oyster de Londres, tarjeta Leap de Irlanda , MoBIB de Bruselas , tarjeta OPUS de Quebec , CharlieCard de Boston , Clipper de San Francisco. card , SmarTrip de Washington, DC , AT Hop de Auckland , go card de Brisbane , SmartRider de Perth , Opal card de Sydney y myki de Victoria . Sin embargo, estos presentan un riesgo para la privacidad porque permiten al operador de transporte público (y al gobierno) rastrear el movimiento de un individuo. En Finlandia, por ejemplo, el Defensor del Pueblo para la Protección de Datos prohibió al operador de transporte Consejo del Área Metropolitana de Helsinki (YTV) recopilar dicha información, a pesar del argumento de YTV de que el titular de la tarjeta tiene derecho a una lista de los viajes pagados con la tarjeta. Anteriormente, esta información se utilizó en la investigación del atentado de Myyrmanni . [ cita necesaria ]
El Departamento de Transporte del Reino Unido exigió tarjetas inteligentes para administrar los derechos de viaje de los residentes mayores y discapacitados. Estos planes permiten a los residentes utilizar las tarjetas para algo más que pases de autobús. También se pueden utilizar para taxis y otros transportes concesionarios. Un ejemplo es el programa "Smartcare go" del Ecebs. [116] Los sistemas del Reino Unido utilizan la especificación ITSO Ltd. Otros sistemas en el Reino Unido incluyen pases de viaje de época, cuadernos de billetes o pases de un día y valor almacenado que puede utilizarse para pagar los viajes. También se apoyan otras ventajas para escolares, estudiantes y solicitantes de empleo. Estos se basan principalmente en las especificaciones de ITSO Ltd.
Muchos planes de transporte inteligente incluyen el uso de billetes inteligentes de bajo coste para viajes sencillos, pases de un día y pases de visitante. Los ejemplos incluyen el metro SPT de Glasgow . Estos billetes inteligentes están hechos de papel o PET, que es más fino que una tarjeta inteligente de PVC, por ejemplo, los medios inteligentes Confidex. [117] Los billetes inteligentes pueden suministrarse preimpresos y sobreimpresos o imprimirse bajo demanda.
En Suecia, a partir de 2018-2019, las tarjetas inteligentes comenzaron a eliminarse progresivamente y a ser reemplazadas por aplicaciones para teléfonos inteligentes . Las aplicaciones telefónicas tienen un costo menor, al menos para los operadores de transporte que no necesitan ningún equipo electrónico (los pasajeros lo proporcionan). Los pasajeros pueden comprar billetes en cualquier lugar y no necesitan cargar dinero en tarjetas inteligentes. Las tarjetas inteligentes seguirán utilizándose en el futuro previsible (a partir de 2019).
En las salas de juegos japonesas , los fabricantes de juegos utilizan tarjetas inteligentes sin contacto (generalmente denominadas "tarjetas IC") como método para que los jugadores accedan a las funciones del juego (tanto en línea como Konami E-Amusement y Sega ALL.Net como fuera de línea). y como soporte de memoria para guardar el progreso del juego. Dependiendo de cada caso, las máquinas pueden utilizar una tarjeta específica del juego o una "universal" utilizable en varias máquinas del mismo fabricante/editor. Entre los más utilizados se encuentran Banapassport de Bandai Namco , E-amusement pass de Konami , Aime de Sega y Nesica de Taito .
En 2018, en un esfuerzo por hacer que las tarjetas IC de juegos arcade sean más fáciles de usar, [118] Konami, Bandai Namco y Sega acordaron un sistema unificado de tarjetas llamado Amusement IC . Gracias a este acuerdo, las tres compañías utilizan ahora un lector de tarjetas unificado en sus máquinas recreativas, para que los jugadores puedan utilizar su tarjeta, ya sea una Banapassport, una e-Amusement Pass o una Aime, con hardware y servicios de identificación. de los tres fabricantes. Se ha creado un logotipo común para las tarjetas Amusement IC , que ahora se muestra en tarjetas compatibles de las tres empresas. En enero de 2019, Taito anunció [119] que su tarjeta Nesica también se uniría al acuerdo Amusement IC con las otras tres empresas.
Las tarjetas inteligentes se pueden utilizar como token de seguridad .
El navegador web Firefox de Mozilla puede utilizar tarjetas inteligentes para almacenar certificados y utilizarlos en una navegación web segura. [120]
Algunos sistemas de cifrado de disco , como VeraCrypt y BitLocker de Microsoft , pueden usar tarjetas inteligentes para guardar claves de cifrado de forma segura y también para agregar otra capa de cifrado a partes críticas del disco seguro.
GnuPG , el conocido paquete de cifrado, también admite el almacenamiento de claves en una tarjeta inteligente. [121]
Las tarjetas inteligentes también se utilizan para el inicio de sesión único para iniciar sesión en las computadoras.
En algunas escuelas y universidades se están proporcionando tarjetas inteligentes a los estudiantes. [122] [123] [124] Los usos incluyen:
Las tarjetas sanitarias inteligentes pueden mejorar la seguridad y privacidad de la información del paciente, proporcionar un soporte seguro para registros médicos portátiles , reducir el fraude en la atención sanitaria , respaldar nuevos procesos para registros médicos portátiles, proporcionar acceso seguro a información médica de emergencia, permitir el cumplimiento de iniciativas gubernamentales (p. ej. , donación de órganos ) y mandatos, y proporcionar la plataforma para implementar otras aplicaciones según sea necesario por la organización de atención médica . [125] [126]
Las tarjetas inteligentes se utilizan ampliamente para cifrar transmisiones de televisión digital. VideoGuard es un ejemplo específico de cómo funcionaba la seguridad de las tarjetas inteligentes.
El gobierno de Malasia promueve MyKad como un sistema único para todas las aplicaciones de tarjetas inteligentes. MyKad comenzó como documentos de identidad que portaban todos los ciudadanos y no ciudadanos residentes. Las aplicaciones disponibles ahora incluyen identidad, documentos de viaje, licencia de conducir, información de salud, billetera electrónica, tarjeta bancaria en cajero automático, pagos de peaje y transporte público e infraestructura de cifrado de clave pública. La información personal dentro de la tarjeta MYKAD se puede leer mediante comandos APDU especiales. [127]
Las tarjetas inteligentes se han anunciado como adecuadas para tareas de identificación personal, porque están diseñadas para ser resistentes a manipulaciones . El chip suele implementar algún algoritmo criptográfico . Sin embargo, existen varios métodos para recuperar parte del estado interno del algoritmo.
El análisis de potencia diferencial implica medir el tiempo preciso y la corriente eléctrica requerida para ciertas operaciones de cifrado o descifrado. Esto puede deducir la clave privada en el chip utilizada por algoritmos de clave pública como RSA . Algunas implementaciones de cifrados simétricos también pueden ser vulnerables a ataques de potencia o de sincronización.
Las tarjetas inteligentes se pueden desmontar físicamente utilizando ácido, abrasivos, disolventes o alguna otra técnica para obtener acceso ilimitado al microprocesador integrado. Aunque tales técnicas pueden implicar un riesgo de daño permanente al chip, permiten extraer información mucho más detallada (por ejemplo, fotomicrografías de hardware de cifrado).
Los beneficios de las tarjetas inteligentes están directamente relacionados con el volumen de información y aplicaciones que se programan para su uso en una tarjeta. Una única tarjeta inteligente con/sin contacto se puede programar con múltiples credenciales bancarias, derechos médicos, permisos de conducir/transporte público, programas de fidelización y membresías en clubes, por nombrar sólo algunos. La autenticación multifactor y de proximidad puede y se ha incorporado en las tarjetas inteligentes para aumentar la seguridad de todos los servicios de la tarjeta. Por ejemplo, una tarjeta inteligente se puede programar para permitir solo una transacción sin contacto si también está dentro del alcance de otro dispositivo, como un teléfono móvil emparejado de forma única. Esto puede aumentar significativamente la seguridad de la tarjeta inteligente.
Los gobiernos y las autoridades regionales ahorran dinero gracias a una mayor seguridad, mejores datos y menores costos de procesamiento. Estos ahorros ayudan a reducir los presupuestos públicos o mejorar los servicios públicos. Hay muchos ejemplos en el Reino Unido, muchos de los cuales utilizan una especificación LASSeO abierta común.
Las personas tienen mayor seguridad y más comodidad al usar tarjetas inteligentes que realizan múltiples servicios. Por ejemplo, solo necesitan reemplazar una tarjeta si pierden o les roban la billetera. El almacenamiento de datos en una tarjeta puede reducir la duplicación e incluso proporcionar información médica de emergencia.
La primera ventaja principal de las tarjetas inteligentes es su flexibilidad. Las tarjetas inteligentes tienen múltiples funciones que pueden ser simultáneamente una identificación, una tarjeta de crédito, una tarjeta de efectivo con valor almacenado y un depósito de información personal como números de teléfono o historial médico. La tarjeta se puede reemplazar fácilmente en caso de pérdida y el requisito de un PIN (u otra forma de seguridad) brinda seguridad adicional contra el acceso no autorizado a la información por parte de otros. En el primer intento de utilizarla ilegalmente, la tarjeta sería desactivada por el propio lector de tarjetas.
La segunda ventaja principal es la seguridad. Las tarjetas inteligentes pueden ser llaveros electrónicos que brindan al portador la posibilidad de acceder a información y lugares físicos sin necesidad de conexiones en línea. Son dispositivos de cifrado, de modo que el usuario puede cifrar y descifrar información sin depender de dispositivos desconocidos y, por tanto, potencialmente poco fiables, como los cajeros automáticos. Las tarjetas inteligentes son muy flexibles a la hora de proporcionar autenticación a diferentes niveles del portador y de la contraparte. Finalmente, con la información sobre el usuario que las tarjetas inteligentes pueden proporcionar a otras partes, son dispositivos útiles para personalizar productos y servicios.
Otros beneficios generales de las tarjetas inteligentes son:
Las tarjetas inteligentes se pueden utilizar en el comercio electrónico a través de Internet, aunque el modelo de negocio utilizado en las aplicaciones de comercio electrónico actuales todavía no puede utilizar el conjunto completo de funciones del medio electrónico. Una ventaja de las tarjetas inteligentes para el comercio electrónico es su utilización en servicios personalizados. Por ejemplo, para que el proveedor de servicios brinde el servicio personalizado, es posible que el usuario deba proporcionar a cada proveedor su perfil, una actividad aburrida y que requiere mucho tiempo. Una tarjeta inteligente puede contener un perfil no cifrado del portador, de modo que el usuario pueda obtener servicios personalizados incluso sin contactos previos con el proveedor.
La tarjeta de plástico o papel en la que está incrustado el chip es bastante flexible. Cuanto más grande sea el chip, mayor será la probabilidad de que el uso normal pueda dañarlo. Las tarjetas suelen llevarse en carteras o bolsillos, un entorno hostil para un chip y una antena en las tarjetas sin contacto. Las tarjetas de PVC pueden agrietarse o romperse si se doblan o flexionan excesivamente. Sin embargo, para los grandes sistemas bancarios, los costos de gestión de fallas pueden compensarse con creces con la reducción del fraude. [ cita necesaria ]
Se sabe que la producción, uso y eliminación del plástico PVC es más perjudicial para el medio ambiente que otros plásticos. [128] Se encuentran disponibles materiales alternativos, incluidos plásticos y papel sin cloro, para algunas aplicaciones inteligentes.
Si la computadora del titular de la cuenta aloja malware , el modelo de seguridad de la tarjeta inteligente puede estar roto. El malware puede anular la comunicación (tanto la entrada mediante el teclado como la salida a través de la pantalla de la aplicación) entre el usuario y la aplicación. El malware "man-in-the-browser" (por ejemplo, el troyano Silentbanker ) podría modificar una transacción sin que el usuario lo note. Bancos como Fortis y Belfius en Bélgica y Rabobank ("lector aleatorio") en los Países Bajos combinan una tarjeta inteligente con un lector de tarjetas desconectado para evitar este problema. El cliente ingresa en el lector un desafío recibido del sitio web del banco, un PIN y el monto de la transacción. El lector devuelve una firma de 8 dígitos. Esta firma se ingresa manualmente en la computadora personal y el banco la verifica, lo que evita que el malware del punto de venta cambie el monto de la transacción.
Las tarjetas inteligentes también han sido blanco de ataques a la seguridad. Estos ataques van desde la invasión física de los componentes electrónicos de la tarjeta hasta ataques no invasivos que explotan las debilidades del software o hardware de la tarjeta. El objetivo habitual es exponer claves de cifrado privadas y luego leer y manipular datos seguros, como fondos. Una vez que un atacante desarrolla un ataque no invasivo para un modelo de tarjeta inteligente en particular, normalmente puede realizar el ataque en otras tarjetas de ese modelo en segundos, a menudo utilizando equipos que pueden disfrazarse de un lector de tarjetas inteligentes normal. [129] Si bien los fabricantes pueden desarrollar nuevos modelos de tarjetas con seguridad de información adicional , puede resultar costoso o inconveniente para los usuarios actualizar los sistemas vulnerables. Las funciones de auditoría y a prueba de manipulaciones en un sistema de tarjeta inteligente ayudan a gestionar los riesgos de las tarjetas comprometidas.
Otro problema es la falta de estándares de funcionalidad y seguridad. Para abordar este problema, el Grupo de Berlín lanzó el Proyecto ERIDANE para proponer "un nuevo marco funcional y de seguridad para equipos de puntos de interacción (POI) basados en tarjetas inteligentes". [130]
{{cite web}}: Comprobar |url=valor ( ayuda )FALLO DEL DNI ELECTRÓNICO
El DNI electrónico ha muerto: ¡viva el DNI 3.0!
Los últimos años han sido testigos del diseño de estándares y la promulgación de directivas relativas a la seguridad y privacidad en los sistemas EHR.
Sin embargo, se debe trabajar más para adoptar estas regulaciones e implementar sistemas EHR seguros.
