Medios-de-pago-e-identificacion-personal-en-la-era-digital-2015

Segunda edición:13.04.15

1Resumenejecutivo” La nueva generación deusuarios de servicios móvilesha nacido con internet(smartphones, aplicaciones,redes sociales, informaciónen la nube, etc.), y suforma de relacionarse no seentiende sin estos mediostecnológicos.“” Las empresas privadasy los organismos públicosnecesitan adoptar unatransformación inmediatahacia estos entornos.“SinopsisEn este documento se analiza la transformación de lossistemas de pago e identidad personal en la vanguardia dela digitalización y las áreas de negocio en las que impacta.Para ello se describe la situación actual desde un punto devista neutral, analizando los aspectos mas relevantes delentorno de negocio: cadena de valor, actores del ecosistema,tecnología, normativas, seguridad, oportunidades, y barreras.Para concluir se describen los principales atributos que debencumplir los servicios para garantizar la calidad, seguridad yusabilidad que demandan los clientes, y las recomendacionespara desarrollar un entorno de mercado abierto y competitivo.IntroducciónLa nueva generación de usuarios digitales han nacidoconectados (smartphones, aplicaciones, redes sociales,información en la nube, etc.), y su forma de relacionarse nose entiende sin estos medios tecnológicos, ya sea en elámbito profesional o personal. Esto implica que los mercados,las empresas privadas y los organismos públicos necesitanadoptar una transformación inmediata hacia estos entornos.Los avances tecnológicos están acelerando este proceso,proporcionando aplicaciones más sofisticadas y seguras, tantoen banca y pagos móviles como en identificación personal.Para 2017 se prevé que el valor de las transacciones móvilessea de 721.000 millones de dólares.Claves para entender el nuevo entorno– Aunque los usuarios ya están preparados y demandan estatransformación, los organismos públicos y privados, en general,no están listos para enfrentarse a este reto. Se han identificadorazones como la inseguridad respecto a la evolución tecnológicay la incertidumbre de una modificación de la cadena de valorcon la aparición de nuevos actores.– En el ecosistema de los medios de pago móviles, a los actoresque provienen del entorno natural (bancos, redes de mediosde pago, comercios), se suman los que definirán su importanciapróximamente (operadores móviles, compañías puntocom,fabricantes de móviles), y los organismos encargados dela regulación.– Además de las tarjetas inteligentes con capacidad decomunicación sin contacto (Contactless; NFC), otros03 #InformeNae Resumen ejecutivo

avances tecnológicos que permiten ofrecer estos serviciosson los smartphones y las redes GSM de tercera y cuartageneración. Otros servicios que estarán a disposición delos usuarios son: pago de billetes y abonos de transporte;tarjeta sanitaria, de seguros y fidelización; DNI ypasaporte digital; tarjetas de acceso físico a vehículos yedificios; claves de acceso a sistemas infomáticos y webs,entradas para espectáculos; y/o carteles inteligentes.– Para alcanzar niveles de servicio óptimo existen aún muchosinterrogantes pendientes de respuesta:• ¿El Dispositivo Seguro debe ser una tarjeta SIM física en elteléfono móvil, o una tarjeta virtual mediante softwareen la red?• ¿La seguridad de acceso a las credenciales y claves deusuario será suficiente para evitar el fraude y conseguirla confianza de los usuarios?• ¿El DNI, pasaporte y otros títulos de identidad pública, podránintegrarse en este modelo junto con las iniciativas privadas?• ¿Qué tecnología de proximidad será finalmente lautilizada, el modelo NFC utilizado por Samsung o el deBluetooth de bajo consumo promovido por Apple?• ¿Los clientes dispondrán de una atención comúnintegrada o en caso incidencias deberán llamar acada uno de los proveedores de los servicios? ¿Podrángestionar múltiples tarjetas de diferentes proveedores?Atributos de los ServiciosLa estrategia para el desarrollo de estos nuevos servicios,tanto públicos como privados, debe plantearse desdela perspectiva de los clientes: asegurando los atributosmínimos que garanticen su aceptación con unos nivelesde calidad y precio razonables:• Seguridad• Transparencia• Confidencialidad• Universalidad del servicio• Portabilidad• Simplicidad• Consistencia• Accesibilidad• Fiabilidad• Gratuidad del servicio básico universal• Disponibilidad de servicios de valor añadido04 #InformeNae Resumen ejecutivo

” Las empresas de lossectores implicados correnel riesgo de centrarseen modelos protectoresdel status quo y bloquearlas iniciativas abiertasy transversales, centradasen las necesidades delos clientes.“” El liderazgo en el desarrollode los nuevos serviciospuede servir de estímulopara la creación de nuevasiniciativas empresariales.“Conclusiones– El crecimiento actual del negocio, superior al 30% anual,puede verse estancado o experimentar un crecimiento mayorsi se orienta hacia un modelo sostenible centrado en lasnecesidades de los clientes y la viabilidad de las empresas.– El modelo de los servicios móviles actual no ha conseguidoaún implantar soluciones que cumplan los atributosmínimos de seguridad, simplicidad, universalidad, fiabilidad,precio, y disponibilidad que demandan los usuarios.– Las empresas de los sectores implicados corren el riesgode centrarse en modelos protectores del status quo ybloquear las iniciativas abiertas y transversales, centradasen las necesidades de los clientes. En un ecosistema tanfragmentado, es imprescindible que los organismos deregulación favorezcan un entorno colaborativo y competitivo.– La Administración Pública tienen la oportunidad deliderar la definición de un modelo que facilite el desarrolloeficiente de servicios públicos: sanidad, transporte,seguridad e identificación.– Aunque España ha sido un país líder indiscutible en laimplantación de soluciones de banca y telecomunicaciones,no se visualiza ese liderazgo en la transformación digital.No debemos perder este posicionamiento que puedeservir de estímulo para mejorar los servicios privados ypúblicos, disminuyendo a la vez los costes, y facilitando lacreación de nuevas iniciativas empresariales y de empleo.05 #InformeNae Resumen ejecutivo

2Principalesactores delecosistema demedios depago móviles” Como líderes de laintroducción de las TICy tratándose de unecosistema que se basaen la transacción financiera,las entidades bancariasadoptan un rol predominante,pero no único.“Clientes o usuarios de los serviciosConstituyen el objetivo principal del ecosistema. Es decir,analizamos el modelo centrado en el cliente o usuario de talmanera que los productos y servicios deben respondera las necesidades presentes o latentes.Entidades proveedoras de los productos y serviciosLos proveedores de los servicios pueden ser, entre otros,entidades financieras que emiten tarjetas de pago, comerciosque proporcionan tarjetas de fidelización, compañías detransporte que porporcionan títulos o abonos para sususuarios, o entidades de salud y seguros que identificana sus beneficiarios con tarjetas electónicas virtuales.En el ecosistema intervienen también entidades proveedorasde servicios, que gestionan determinados procesos dela cadena de valor, subcontratadas por las empresasque prefieren externalizar una determinada función muyespecializada o compleja. Por ejemplo: emisión física o virtualde las tarjetas, certificados y claves de usuario, atención alcliente, o gestión de los sistemas TIC correspondientes.Entidades BancariasComo líderes de la introducción de las TIC y tratándosede un ecosistema que se basa en la transacciónfinanciera adoptan un rol predominante, pero noúnico. Pueden producirse actividades que no requieranpagos, como en servicios de identificación, o en losque el pago se realice directamente entre usuarios.Redes y sistemas de medios de pagoLos pagos electrónicos actuales se realizan mediantetarjetas de crédito y débito, emitidas por los bancos, queofrecen su servicio tanto al comerciante (adquiere el pago)como al consumidor final (emite la tarjeta). Los sistemasinformáticos y las redes de comunicación segura que permitendichos pagos son operados por empresas especializadasproporcionadas por la marca correspondiente de las tarjetas.Operadores de servicios móviles (Mobile NetworkOperator, MNO)Son imprescindibles para acceder a los servicios. El accesoal sistema de medios de pago e identificación se realiza a06 #InformeNae Principales actores del ecosistema de medios de pago móviles

” Los sistemas de pagosbancarios y serviciosde identificación requierenuna presencia activa dela administración pública,tanto desde el puntode vista fiscal como deidentificación en losservicios públicos (sanidad,transporte, etc.).“través de los terminales móviles las aplicaciones y credencialesnecesarias se almacenan principalmente en las tarjetas SIM.Fabricantes de equiposAunque algunos servicios pueden ser accesibles desdeteléfonos básicos mediante SMS (transferencia demensajes de texto), el verdadero potencial del sistema soloes accesible a través de los smartphones que soportenaplicaciones específicas y comunicación con los Terminalesdel Punto de Venta (TPV, o en inglés POS: Point of Sale).Proveedores de softwarePermiten el desarrollo, integración y mantenimiento deaplicaciones no sólo para los usuarios y comercios,sino también para el resto de actores: bancos, redesde medios de pago y operadores.Proveedores de tarjetas inteligentesResponsables de la introducción de chips en las tarjetasSIM y bancarias, tienen un papel importante en la migraciónde la banda magnética a la funcionalidad inalámbricaNFC (Contactless).Gestores de Servicios de Confianza(TSM: Trusted Service Managers)Permiten la gestión de los servicios de provisión y posventa enel ecosistema de pagos móviles de una manera independientey segura. Estos gestores de servicio neutrales pueden facilitarlos acuerdos operativos entre los principales actores.Regulación y normativaFomentan la calidad e integridad de los servicios, yaseguran la competitividad e interoperabilidad de unsistema universal.Organismos públicosLos sistemas de pagos bancarios y servicios de identificaciónrequieren una presencia activa de la administración pública,tanto desde el punto de vista fiscal como de identificaciónen los servicios públicos (sanidad, transporte, etc.).07 #InformeNae Principales actores del ecosistema de medios de pago móviles

Compañías de internet (puntocom)El ecosistema de medios de pago móviles es un entorno naturalpara las compañías que han nacido o se han desarrollado coninternet, como Google, Amazon, o Apple. Su dinamismoy flexibilidad en la orientación al cliente y su experienciay capacidad de innovación las puede convertir enprotagonistas de esta transformación. La integracióncon el comercio electrónico y los servicios de marketingrelacional abren un abanico de oportunidades aestas compañías para captar nuevo negocio.Diagrama del ecosistema de servicios de pago por móvilProveedoresde softwarey serviciosOperadores de telefonía móvilProveedoresde terminalesmóvilesOberthurMonitiseGiesecke& DevrientGemaltoWirecardSequentCliente NFC ComercioRedes de pagoSamsungSonyHuaweiLGAppleNuevosentrantesPuntosde ventaGoogleWalletAmazonPaymentsEbayEntidades financierasIngenicoVivoVeriFonePay PalHypercomeReguladoresy normativaEuropeanCentral BankEuropean PaymentsCouncilSEPA EMVCo PCI SecurityStandards Council08 #InformeNaePrincipales actores del ecosistema de medios de pago móviles

3EntornotecnológicoTerminales móviles inteligentesLos smartphones actuales no tienen nada que envidiar alos ordenadores personales, tanto en capacidad de procesocomo en memoria, almacenamiento, comunicaciones yresolución de la pantalla. No es extraño que nuestro móvilsea más potente en la mayoría de sus funciones que elordenador personal que usamos, por lo que en lugar deteléfono móvil podríamos hablar de ordenador personal móvil.El aspecto más relevante de las capacidades de unsmartphone, y quizá el más necesario por su condiciónmóvil, son las comunicaciones:• WiFi 802.11 a/b/g/n/ac• GPS / GLONASS• NFC• Bluetooth® 4.0• Infra Rojos LED• 3G y 4GEspecificaciones técnicas de un smartphone:• Procesador: 1,9 GHz QuadCore• Pantalla: 1980x1080 (441 ppi)• Memoria RAM: 2 GBs• Almacenamiento: 64 GB + Slot microSD 64 GB• Cámara: 13 megapíxelesEstas capacidades permiten que los smartphones puedansoportar las mismas aplicaciones que cualquier ordenadorpersonal fijo, añadiendo funciones propias como GPS,acelerómetro, etc. El desarrollo de aplicaciones para lasplataformas móviles más extendidas: Android de Google,iOS de Apple y Windows Phone de Microsoft, ha sidoexponencial y se estima que existen mas de 1 millón deaplicaciones disponibles.La penetración media de los smartphones a finales del 2012en España superó el 66% del total de móviles 1 , con un crecimientodel 15% respecto al año anterior. Esta cifra sitúa a España comolíder de penetración en la Europa de los 5 (Alemania, Francia,Reino Unido, Italia y España), con una penetración media del57%. Durante el 2012, 8 de cada 10 móviles vendidos fueron deltipo smartphone; adicionalmente se estima que el 70% de losusuarios de teléfonos inteligentes dispone también de tableta.Tarjetas inteligentes y NFC (Contactless)– 1Comscore: Spain Digital Future in Focus, 2013.http://goo.gl/wJnAojLas tarjetas inteligentes (Smart Card o ICC: Integrated CircuitCard) son actualmente el corazón de los medios de pago.09#InformeNaeEntorno tecnológico

” Una tarjeta inteligentepermite integrar, en un solomicrochip, aplicacionesseguras de diferentesproveedores de servicios.“Estas tarjetas contienen un microchip con su correspondienteunidad de control (CPU), memoria de almacenamiento(RAM/ROM/EPROM) y sistema de entrada y salida. En suparte superior disponen de unas patillas para facilitar elcontacto eléctrico, tanto para la alimentación del chip comopara la transmisión de datos a los lectores de tarjetas.Capacidades de las tarjetas inteligentesLos microchips de las tarjeta actuales disponen deprocesadores tipo RISC de 32 bits, alcanzando velocidadesde 32 MHz y con capacidades de memoria RAM de 144 KBy memoria FLASH 1,2 MB. La seguridad en las tarjetas serealiza tanto a nivel físico (es necesario destruir la tarjetapara acceder a sus componentes), como a nivel lógico,con mecanismos de encriptación tipo 3DES, RSA y ECC.Las capacidades de proceso y almacenamiento permitenproporcionar no solo servicios de identificación yautenticación segura, sino todo tipo de aplicacionesque requieran almacenamiento y proceso de datos.Diferentes aplicaciones pueden incluso convivir en unamisma tarjeta mediante mecanismos que facilitan entornosseguros completamente independientes. Esta funcionalidadde las tarjetas inteligentes permite integrar, en un solomicrochip, aplicaciones seguras de diferentes proveedoresde servicios, por ejemplo: modulo SIM del operador móvil,tarjetas de crédito bancarias, abonos de transporte, etc.Aplicaciones de las tarjetas inteligentesLas primeras experiencias con tarjetas inteligentes enservicios masivos nacieron en Francia en el sector de lastelecomunicaciones (Télécarte: tarjetas prepago parautilización en cabinas telefónicas), y en el sector financiero(Carte Bleue: tarjetas con PIN de seguridad para transaccionesen puntos de venta). Posteriormente se fueron introduciendoen otros sectores: expendedores, acceso a sistemasinformáticos, televisión de pago, transporte, identidad, etc.Los teléfonos móviles en las redes GSM adoptaron el usode tarjetas inteligentes con la denominación SIM (SuscriberIdentification Module). En estas tarjetas SIM se almacenala identificación del usuario y las claves (PIN) correspondientespara el acceso y comunicación segura al servicio. Lastarjetas SIM han evolucionado según el modelo UICC(Universal Integrated Circuit Card) que permite la convivenciade diferentes aplicaciones en la misma tarjeta y es una delas bases para el modelo de medios de pago por móvil.10 #InformeNaeEntorno tecnológico

Aunque las tarjetas inteligentes usadas en telefoníamóvil y las tarjetas de crédito/débito del sector financieroutilizan básicamente el mismo concepto de microchip,existen diferencias menores en el tipo de encapsuladoplástico y también en las especificaciones eléctricas.NFC - ContactlessPara facilitar la comunicación sin contacto entre las tarjetasinteligentes y los puntos de venta, se desarrolló el estándarNFC (Near Field Communication) cuando Nokia, Sony y Philipsformaron el NFC Forum.NFC se basa en la tecnología RFID (Radio FrequencyIdentification) y permite la comunicación bidireccional entredispositivos a menos de 4 cm de distancia y a una velocidadmáxima de 424 kbps.La alimentación eléctrica del microchipse proporciona sin necesidad de contacto, gracias a lainducción electromagnética proporcionada a través deldispositivo terminal NFC (cajero o punto de venta).NFC define 3 modos de operación:• Comunicación de igual a igual (P2P: Peer to Peer)• Comunicación en modo lectura/escritura• Emulación de Tarjeta NFCCredit Cardxxxx xxxxXXX XXXX XXXActualmente el modo más extendido de funcionamiento es el deemulación de tarjeta. Mediante este sistema, una tarjeta UICC-NFC en un teléfono móvil puede actuar emulando una tarjeta decrédito/débito del tipo NFC-Contactless de forma transparentepara el Terminal de Punto de Venta con funciones NFC.Aplicaciones NFCNFC y otros estándares RFID no sólo facilitan las aplicacionesde medios de pago. También permiten otras múltiplesaplicaciones basadas en la identificación personal: acceso11#InformeNaeEntorno tecnológico

” Los servicios en la nube,o servicios en la red,permiten un accesouniversal a los contenidos,independientemente deltipo de terminal (móvil,tablet, TV y PC) que elusuario requiera en cadamomento.“físico a edificios, acceso lógico a sistemas informáticos, controlde vehículos, estacionamiento, etc.Otra de las aplicaciones más extendidas de esta tecnologíaes el intercambio de información, bien directamente entreusuarios de teléfonos móviles, o para facilitar la lecturade información de carteles en centros comerciales. En esteúltimo caso el cartel podría informar, por ejemplo, delestreno de una película, y a la vez permitir la compra onlinede la entrada correspondiente.Servicios en la red (nube)El desarrollo y abaratamiento de las plataformas demultiproceso virtual, tanto hardware como software, junto conel incremento de las capacidades en el acceso a las redes IPmediante la utilización de fibra óptica y banda ancha móvil, hapropiciado una transformación en el modelo de acceso a loscontenidos y aplicaciones. Los servicios en la nube, o serviciosen la red, permiten un acceso universal a los contenidos,independientemente del tipo de terminal (móvil, tablet, TV yPC) que el usuario requiera en cada momento. Además seasegura la disponibilidad de la información y el software, sintemor a la perdida o destrucción de los terminales de acceso.Los servicios en la nube también pueden proporcionar lacapacidad necesaria tanto en velocidad de acceso yproceso, como de seguridad para albergar las aplicacionesy credenciales de pago de los usuarios (ver apartadoDispositivos Seguros). De esta forma se consigue establecerun modelo independiente, tanto de los operadoresmóviles como de los fabricantes de terminales móviles.Bluetooth y WiFiLa última especificación de Bluetooth versión 4.0, tambiéndenominada Bluetooth Smart, incluye las especificacionesdel Bluetooth clásico: de alta velocidad (basado enWIFI), y de bajo consumo, utilizada en los dispositivosiBeacon (ver capítulo Beneficios y oportunidades).El desarrollo de las capacidades de esta nueva versión en cuantoa velocidad (hasta 24 Mbits.), alcance (hasta 100 m.), seguridad,y bajo consumo, hace que Bluetooth sea particularmenteatractivo en todo tipo de dispositivos de consumo tales como:teléfonos, impresoras, teclados, televisiones, equipos de música,mandos, relojes inteligentes y sensores.WiFi supone la evolución de las redes locales (LAN) basadasen cable y en los clásicos estándares de Ethernet 802.3 hacia12#InformeNaeEntorno tecnológico

” La quinta generación WiFi,denominada 802.11ac,alcanza velocidadessuperiores a 1 Gbit y permitela transmisión de videode muy alta definición.“redes inalámbricas definidas en el estándar 802.11. La versiónactualmente utilizada es la 802.11n que permite alcanzarvelocidades de hasta 600 Mbits. Este estándar “n” funcionaen la misma banda de 2,4 GHz que utilizan los sistemasanteriores y que está próxima a su saturación, por lo que yase ha desarrollado la quinta generación WiFi, denominada802.11ac que también permite la banda de 5 GHz y aunquecon menos cobertura, alcanza velocidades superiores a 1 Gbity permite la transmisión de video de muy alta definición.Las capacidad de comunicaciones de los estándares WiFi yBluetooth complementan las funciones de la comunicación decercanía y sin contacto de NFC; de esta forma los serviciosde marketing que requieren un mayor ancho de bandapor los contenidos multimedia requeridos, pueden utilizarWiFi y/o Bluetooth, mientras que la operación de comprafinal puede utilizar NFC para interactuar con el Terminalde Punto de Venta de una manera más segura.13#InformeNaeEntorno tecnológico

4Servicios depago pormóvil y otrosnuevosservicios” Los pagos por móvil sonaquellos en los que la ordeny confirmación de pagose realizan a través de lasfunciones disponibles enlos móviles.“Los móviles inteligentes se han convertido en un instrumentode uso cotidiano en la vida de los consumidores y usuariosprofesionales, por ello resulta natural su utilización en lasoperaciones de pago para la adquisición de bienes o uso deservicios. Los pagos por móvil son aquellos en los que laorden y confirmación de pago se realizan a través de lasfunciones disponibles en los móviles. En este sentido podemosdistinguir dos categorías principales: pagos móviles adistancia y pagos móviles de proximidad.Pagos móviles a distanciaEn estas operaciones el comercio o punto de venta seencuentra habitualmente lejos del consumidor y lacomunicación con el sistema de pago se realiza a travésde internet. Estas operaciones normalmente se realizan através de la web, en tiendas o sistemas de servicios online.Los medios habituales de pago en este caso son:• Pagos con tarjetas de crédito/débito: su uso es casi universalen el entorno de las tiendas online. En algunos portales,los usuarios sólo pueden darse de alta tras registrar unatarjeta válida.• Transferencias o adeudos domiciliados: habitualmente sonsistemas nacionales, y particularmente en el entorno de laAdministración y Servicios Públicos, en los que se utilizael sistema online del banco elegido por el consumidor parala confirmación del pago.• Pagos a través de proveedores de pagos electrónicos:algunas tiendas online permiten el pago a través de cuentaspersonales abiertas en medios de pago electrónico tipoPayPal o AmazonPayments.Pagos móviles de proximidadSon los que se realizan directamente en el comercio o puntosde venta. Estos pueden ser atendidos por personal o serdispensadores automáticos. Los consumidores utilizansu teléfono para interactuar directamente con el Terminalde Punto de Venta (TPV). Esta comunicación se realizadirectamente a través de protocolos de comunicación deproximidad:• NFC (Near Field Communication): el teléfono y el TPVinteractúan gracias a esta tecnología que permite unacomunicación bidireccional.• Códigos de barra bidimensionales: el teléfono presenta uncódigo de transacción que escanea el TPV o viceversa.14#InformeNaeServicios de pago por móvil y otros nuevos servicios

Los medios de pago utilizados en estos casos son habitualmentetarjetas de crédito/débito almacenadas en el propio teléfono,que se comporta en estos casos como si fuera una tarjetafísica de plástico.La Caixa instaló los primeros cajeros Contactless del mundoen 2011 con tecnología de Fujitsu. Durante 2012 comenzó eldespliegue masivo en otras entidades financieras (Santander,BBVA, Banco Sabadell, etc.). En paralelo también se estánsustituyendo las tarjetas de sus clientes con tarjetas inteligentescon NFC. A finales de 2013 se estimaba que el número determinales de venta adaptados al servicio Contactless sumabamás de 300.000. Este importante desarrollo ha situadoa España como unos de los países pioneros en su implantacióny es el motivo por el que Vodafone ha lanzado su servicioVodafone Wallet en España.Documentos de identificación personalEl DNI electrónico (DNI-e) comenzó a expedirse en el año2006 y se basa en tarjetas inteligentes con microchip segúnla normativa ISO 7816 2 . Actualmente no soporta tecnologíaContactless, a diferencia del pasaporte, que sí está preparado.El objetivo del nuevo DNI es fomentar el desarrollo de lasociedad de la información y para ello almacena digitalmentelos siguientes elementos:• Certificado electrónico para autenticar la personalidaddel ciudadano.• Certificado de firma electrónica, con la misma validezjurídica que la firma manuscrita.• Certificado de la autoridad de certificación emisora.• Claves para su utilización.• Plantilla biométrica de la impresión dactilar.• Fotografía digitalizada del ciudadano.• La imagen digitalizada de la firma manuscrita.• Datos de la filiación del ciudadano.– 2ISO 7816http://goo.gl/VLcYhjSi bien el despliegue del nuevo DNI ha sido masivo, dadoque en la renovación se han ido sustituyendo paulatinamente,la aplicación práctica hasta la fecha no ha sido satisfactoria.Esta se reduce, de forma minoritaria, a la utilización15#InformeNaeServicios de pago por móvil y otros nuevos servicios

” Resulta sorprendentecomparar la lentitud en laincorporación de las nuevastecnologías para el accesoa los servicios de salud, yel dinamismo e innovaciónpresentes en el desarrollode los servicios bancarios.“del certificado de autenticación y firma para el accesoa servicios online de la administración pública, y enparticular a los relativos a la agencia tributaria.La razón de este uso minoritario radica, por una parte, en ladificultad para instalar el equipamiento y software necesariosen los ordenadores personales de los usuarios, y por otra,en que no se han desarrollado aplicaciones prácticas parasu utilización en otros ámbitos privados y públicos.xxxx xxxx xxxxAPELLIDO 1ESPAÑA xxxx xxxx xxxxAPELLIDO 2xxxx xxxx xxxxNOMBRExxxx xxxx xxxxAAA—00000El plan estratégico de la Policía contempla la introducción deuna nueva versión, el DNI 3.0, en 2016. Esta nueva versiónpodría incluir tecnología de proximidad tipo NFC Contactless,de tal forma que se podría aprovechar el despliegue masivode lectores con esta tecnología en los comercios, gracias aldesarrollo del modelo de pago con tarjetas de crédito/débito y pago por móvil.Tarjetas sanitariasEl pasado 20 de septiembre de 2013 el Gobierno de Españaaprobó en el Consejo de Ministros la creación de la TarjetaSanitaria Individual común para todo el territorio nacional.El decreto ley 702/2013 3 especifica los datos básicos comunesy las especificaciones técnicas básicas que permitirán suinteroperabilidad en las 17 comunidades autónomas. Estasespecificaciones incluyen la posibilidad de utilización detarjetas inteligentes con chips sujetos a la normativa UNE-EN1387:1997.El Sistema Nacional de Salud (SNS) deberá implantar lainfraestructura necesaria que permita el acceso seguro desdelos diferentes organismos de salud de las comunidades alos historiales médicos, utilizando para ello el Código deIdentificación del Paciente (CIP) a nivel nacional, denominadoCIPSNS.– 3Real Decreto 702/2013, de 20 de septiembre,http://goo.gl/LJ42RwResulta sorprendente comparar la lentitud en la incorporaciónde las nuevas tecnologías para el acceso a los servicios desalud, y el dinamismo e innovación presentes en el desarrollode los servicios bancarios. La integración en el ámbito delsector bancario y las telecomunicaciones de los servicios16#InformeNaeServicios de pago por móvil y otros nuevos servicios

móviles, con las tecnologías de tarjetas inteligentes y decomunicación de proximidad NFC, podría ser la oportunidadpara que los servicios de salud recuperasen el retrasotecnológico.Títulos de transporte públicoLa tarjeta inteligente, como sustituto de los billetes de bandamagnética en el sector del transporte publico, es una de lasaplicaciones que más se ha implantado en los últimos años.La necesidad de facilitar el pago, evitando el uso de efectivo,ha hecho que en las principales ciudades españolas se esténimplantado sistemas basados en la tecnología NFC-Contactless.La utilización de la tarjeta inteligente permite adicionalmenteestablecer modelos más flexibles de tarifas que se adecuena las necesidades de los usuarios:• En Madrid el abono transporte mensual ya no se expendeúnicamente por meses naturales, sino que es el propio usuarioel que decide el momento de activarlo.• En Barcelona este billete electrónico permitirá suprimir los84 títulos de transporte distintos que existen.La identificación de los trayectos que efectúan los viajerosindividualmente permitirá, además, conocer en detalle lademanda y planificar de una forma más adecuada las rutas,frecuencias y horarios.Tarjetas de fidelización y cupones descuentoEstas tarjetas, ofrecidas por entidades comerciales yotros sectores como la hostelería y el transporte, ofrecenbonificaciones a sus clientes en forma de descuentos o premiospor su nivel de fidelización con la marca o marcas emisorasde la tarjeta. En general son gratuitas para los clientes yactualmente se basan en tecnología de banda magnética.xxxx xxxx xxxxXXX XXXX XXXxxxx xxxx xxxxXXX XXXX XXXxxxx xxxx xxxxXXX XXXX XXXxxxx xxxx xxxxXXX XXXX XXXxxxx xxxx xxxxXXX XXXX XXXEstos sistemas de fidelización se complementan con serviciosweb que permiten a los clientes:• Realizar el seguimiento de las compras realizadasy de los puntos obtenidos.• Canjear los puntos por los premios del catálogo online.17#InformeNaeServicios de pago por móvil y otros nuevos servicios

” Otra de las aplicacionesde marketing relacionalque permite la tecnologíainalámbrica es que losusuarios puedan recibirvoluntariamente informaciónde productos y serviciosde una manera sencilla.“• Acceder a promociones personalizadas.• Obtener el mapa de establecimientos.La migración de este tipo de tarjetas a tecnología Contactless,y su integración con los sistemas de pago por móvil, permitiráuna mayor penetración de uso. Además las compañíasemisoras podrán ofrecer servicios más personalizados demarketing, por ejemplo utilizando las funciones de localizacióngeográfica de los móviles.Carteles inteligentesOtra de las aplicaciones de marketing relacional que permitela tecnología inalámbrica es que los usuarios puedan recibirvoluntariamente información y/o promociones de productosy servicios de una manera sencilla. Este servicio es similar a lautilización de los códigos de barra 2D, con la diferencia deque se puede elevar el nivel de conectividad y personalizacióncon la identificación del usuario.Sistemas de acceso físico/lógicoLas credenciales de identificación del usuario, tipo eDNI,permitirían utilizar el dispositivo seguro del teléfono comollave electrónica, tanto para el acceso lógico a sistemasinformáticos, como físico para acceder a edificios, viviendaso incluso vehículos. El desarrollo de la tecnología NFC y lossistemas M2M 4 permitirá generalizar el uso de dispositivosconectados tanto en proximidad (NFC) como en remoto(GSM).– 4Machine to Machine (intercambio de datos entredos máquinas remotas).18#InformeNaeServicios de pago por móvil y otros nuevos servicios

5Monederoelectrónico” El monedero electrónicomóvil también permiteservicios de valor añadidopara mejorar la experienciade los usuarios ofreciendo,por ejemplo, promocionesde los comercios cercanos.“El monedero electrónico (eWallet) es un organizador digitalal que se accede a través de un dispositivo móvil, ya seateléfono o tablet, o un ordenador personal, y que permitegestionar las diferentes tarjetas y servicios que incorpora,de forma similar a una cartera o monedero físico.Las funciones que proporcionan incluyen tanto las orientadasal control y seguridad de los contenidos, tales como activacióno desactivación de servicios y gestión de claves de seguridad,como las orientadas al seguimiento de las operacionesrealizadas.Los monederos electrónicos pueden contener entre otroslos siguientes elementos:• Sistemas de pago tipo tarjeta de crédito/débito.• Documentos de identificación y firma electrónica (eDNI).• Credenciales y licencias: tipo tarjeta sanitaria, carnetde conducir, seguros, etc.• Tarjetas de fidelización, cupones y descuentos comerciales.• Abonos y títulos de transporte.• Entradas de espectáculos.• Claves electrónicas para el acceso a sistemas onlineo edificios.El monedero electrónico móvil también permite serviciosde valor añadido para mejorar la experiencia de los usuariosy consumidores ofreciendo, por ejemplo, promocionesde los comercios situados en la proximidad, o mostrandolas entradas adquiridas para un determinado espectáculoal acercarse a la entrada del mismo.19#InformeNaeMonedero electrónico

” Los monederos electrónicosestán en una situaciónincipiente, dado que aúnno existen sistemas capacesde ofrecer un entornocompletamente abiertoe interoperable.“Los monederos electrónicos pueden clasificarse segúnlos siguientes parámetros:Proveedor de servicios:• Vertical: proporcionado por un único proveedor. Incluye,por defecto, determinados servicios que posteriormentepueden incrementarse a través del mismo proveedor.• Horizontal: diseñado para acomodar múltiples proveedoresde servicios.Entidad Comercial:• Cerrado: creado específicamente para los serviciosde un determinado comercio.• Abierto: integra servicios de diferentes entidades.Localización:• Local: el software del monedero se localiza totalmente en elterminal móvil. Esto permite realizar operaciones sin necesidadde tener acceso a la red móvil.• Remoto: el software del monedero se aloja parcialmenteen servicios en la nube, lo cual facilita el uso desde diversosterminales y asegura su disponibilidad más inmediata en casosde pérdida o robo del terminal, aunque como contrapartidarequiere disponibilidad de red en todo momento.Los monederos electrónicos están en una situación incipiente,dado que aún no existen sistemas capaces de ofrecer unentorno completamente abierto e interoperable, siguiendolas recomendaciones de los diversos organismos implicadosen su estandarización (ver capítulo Regulación y normativa).Por otra parte el monedero electrónico es el interfaz principaldel usuario con los servicios, por lo que su control puedereportar, al proveedor que lo proporcione, ventajascompetitivas que pueden ser muy relevantes, tal y como haocurrido en el ámbito de los navegadores web y sistemasoperativos móviles. Algunas de las compañías que yahan anunciado y lanzado monederos electrónicos son:• Operadores móviles: Vodafone Wallethttp://goo.gl/1AKGEh• Compañías de internet: Google Wallethttp://www.google.com/wallet/• Entidades financieras: BBVA Wallethttp://goo.gl/pAqzcB• Fabricantes de móviles: Apple Passporthttp://goo.gl/Y9OxR0• Cadenas comerciales: MCX Wallethttp://www.mcx.com/20 #InformeNaeMonedero electrónico

6ModelooperativoTransacción de pago mediante tarjetaLos pagos NFC (incluyendo los móviles) en España serealizan del siguiente modo, de acuerdo al modelo SEPA(Single Euro Payment Area):1 El cliente que posee una tarjeta bancaria (proporcionada por elbanco emisor) y un teléfono compatible NFC realiza la solicitudde pago en un comercio que, a su vez, dispone del serviciode pago con tarjeta (proporcionado por el banco adquiriente)y de un Terminal de Punto de Venta compatible con NFC.2 Se establece la comunicación de la petición de pago entreel banco adquiriente y el emisor a través del sistema ored común de pago. En caso de confirmarse la autorización,esta se recibe en el Terminal de Punto de Venta y en el teléfonodel cliente. La operación queda completada y se almacenaen los registros de ambos dispositivos. La transacción quedaregistrada igualmente en las cuentas correspondientes delconsumidor y el comercio, en el banco emisor y adquirienterespectivamente.3 Posteriormente se realiza un proceso offline de consolidaciónde pagos entre los bancos.Sistemas depagosBANCO3BANCOBanco emisor de latarjeta del cliente(Issuer)Banco adquiriente delservicio de tarjetasdel comercio (Adquirer)21ClienteNFCComercio21#InformeNaeModelo operativo

” El consumidor descargauna app de monedero,solicita al banco la emisiónde la tarjeta de pagopor móvil, y éste trasladala petición de activaciónal Gestor de Serviciode Confianza para queconfirme el alta y la clavede acceso.“Provisión de servicios de pago con tarjetaPartiendo de que el consumidor dispone de un móvil concapacidad NFC y está suscrito al servicio de un operador móvilque le ha proporcionado una tarjeta SIM-UICC, compatiblecon los servicios de pago NFC por móvil, la provisión delservicio de tarjeta de acuerdo al modelo customer-centric 5se realizaría siguiendo este esquema:BANCOBanco emisor de latarjeta del cliente(Issuer)Gestor del Servicio de Confianza(TSM) a través del Servicio OTA(Operador de red móvil)Consumidorteléfono NFC con tarjeta UICCTienda deaplicaciones– 5What Does It Mean to Be Customer Centric?,http://goo.gl/E6DSwR1 El consumidor descarga desde la tienda online correspondienteuna aplicación de monedero compatible con los servicios desu banco y operador móvil.2 Posteriormente solicita al banco la emisión de la tarjetade pago por móvil requerida, indicando la cuenta corrientede pago y el número de teléfono y operador móvil parasu activación.3 El banco emisor, tras aceptar la solicitud de su cliente,da de alta la tarjeta correspondiente y traslada la peticiónde activación móvil al Gestor de Servicios de Confianza,acompañando dicha petición con la información deidentificación de usuario y tarjeta correspondiente.4 El Gestor de Servicio de Confianza, a través del servicio OTA(Over The Air) del operador móvil (GSM o WIFI), descargaen la tarjeta SIM-UICC del teléfono las aplicaciones,acreditaciones y claves necesarias para activar el servicio.Se produce la notificación de confirmación de alta deservicio y disponibilidad de la clave de acceso al cliente.22 #InformeNaeModelo operativo

” Con el modelo transversal deatención al cliente, el usuarioaccede a un único centroque resuelve consultas eincidencias comunes.“Servicio de atención al clienteEl servicio de atención al cliente se puede desplegarsiguiendo básicamente dos modelos:1 Vertical: cada uno de los proveedores de servicio proporcionasu propia atención al cliente, atendiendo las consultas,incidencias y reclamaciones relativas a la responsabilidadde los servicios que proporciona. Cuando el centro deatención detecta que la incidencia no es del ámbito desu responsabilidad redirige al cliente o le invita a ponerseen contacto con el centro de atención pertinente.Muchos de los servicios actuales funcionan con estemodelo, dado que no implica costes adicionales para latransformación de los sistemas y procesos actuales.2 Trasversal: el usuario accede a un centro integrado de atenciónal cliente, que proporciona un primer nivel de atención conuna capacidad de resolución que permita resolver las consultase incidencias más comunes. De esta forma se evita que elcliente tenga que ponerse en contacto directo con otroscentros, salvo en casos muy específicos por su complejidad.En este modelo encaja perfectamente el papel del Gestorde Servicios de Confianza.Modelo de Atención Integrada TransversalConsultas / SolicitudesIncidencias / ReclamacionesCliente usuario del servicio1 er NivelGestor del Servicio de Confianza2º NivelOperador móvilBanco emisorComercio23 #InformeNaeModelo operativo

7Seguridad dela informacióny las transacciones” Uno de los factores máscríticos para el desarrollode los servicios de pagopor móvil es la seguridadde los mismos. Si no segarantiza, los usuariosse mostrarán reticentesa utilizarlos.“Uno de los factores más críticos para el desarrollo de losservicios de pago por móvil es indudablemente la seguridadde los mismos. Si no se garantiza, los usuarios se mostraránreticentes a utilizarlos. Por otra parte, el alto coste delfraude y el robo puede impedir a las empresas rentabilizarlas inversiones requeridas para el desarrollo y gestiónde estos servicios.La seguridad en este ámbito es un reto realmentecomplicado debido a las características que conformanel ecosistema:• El elemento final gestionado es el dinero, por lo que nohay nada más atractivo para los posibles delincuentes.• La tecnología utilizada es relativamente reciente y sujetaa cambios y adaptaciones al entorno.• La cadena de valor es compleja e intervienen una grannúmero de actores.• Algunos de los actores involucrados son nuevos en esteámbito de los pagos móviles y el fraude y robo asociados.• Los comercios históricamente han sido uno de los puntosmás vulnerables en los medios de pago con tarjeta.• El terminal móvil, por su pequeño tamaño y uso continuocasi en cualquier situación, es propenso a la perdida o robo.• La movilidad se realiza con la comunicación inalámbrica,tanto de información del usuario como de la transaccióncorrespondiente, y esto implica siempre un cierto riesgode vulnerabilidad.• Los usuarios de los servicios no siempre son conscientes de losriesgos y en general no toman las precauciones adecuadas.Para disminuir los riesgos en cada uno de los ámbitoscitados se hace necesario implantar y gestionar tantotecnologías seguras como los procesos adecuadospara la gestión operativa de la misma. También esimprescindible establecer medidas de control y auditoriapor parte de organismos independientes que garanticencontinuamente el nivel de seguridad requerido.Aunque en los protocolos de comunicación empleadospor estos sistemas se utilizan algoritmos avanzadosde encriptación (que hacen casi imposible descifrar lainformación), existen algunos puntos vulnerables enel proceso. Estos se producen cuando se requiere tratarla información no codificada, tanto en el origen (elterminal del usuario), como en los sistemas de pagointermedios o de destino.A continuación se describen los diferentes elementosque intervienen en el proceso de sistemas de pagoque requieren un control adecuado para evitar la fugade información sensible y su uso fraudulento.24 #InformeNae Seguridad de la información y las transacciones

” Es imprescindible establecermedidas de control yauditoria por parte deorganismos independientesque garanticencontinuamente el nivel deseguridad requerido.“Dispositivos Seguros (SE: Secure Element)Los servicios de medios de pagos e identificación requierenla existencia de un elemento seguro en el terminal móvil quecontenga las credenciales de los usuarios y las claves de uso, asícomo las aplicaciones que las utilizan para el acceso a los servicioscorrespondientes. Estos componentes de software del dispositivoseguro se incluyen en un chip integrado que adicionalmenteproporciona los sistemas criptográficos de acceso a los mismos.El Dispositivo Seguro puede implementarse de tresformas diferentes:1 2341 Tarjeta SIM-UICC:El sistema más generalizado actualmente es el de integraciónen la tarjeta UICC, que además de la SIM (SubscriberIdentity Module), puede contener simultáneamente múltiplesaplicaciones seguras independientes. Este modelo promovidopor los operadores móviles, permite de una manera sencillala provisión y gestión de servicios de forma remota vía GSMmediante el método denominado OTA (Over The Air).2 Tarjeta MicroSD o USB:El uso de dispositivos tipo microSD, con capacidad NFC,permite más flexibilidad al usuario para utilizar elDispositivo Seguro en otros terminales, en generalrequiere un teléfono que soporte directamente NFC.3 En el propio teléfono:Fabricado directamente en el teléfono móvil, permite a losfabricantes diseñar y certificar en sus dispositivos (hardwarey sistema operativo) el cumplimiento de la normativa deseguridad NFC.4 Como servicio en la nube:La utilización de un Dispositivo Seguro virtual, creado comoun servicio en la nube, permitiría flexibilizar e independizarlos servicios del dispositivo físico utilizado. Sin embargose añade la necesidad de un esquema de seguridad muyriguroso. Para la utilización de TPVs NFC, aún sería necesarioun terminal NFC compatible y conectividad a la red.Los despliegues comerciales actuales están utilizandoprincipalmente el modelo de tarjeta UICC-SIM y, recientemente,25#InformeNaeSeguridad de la información y las transacciones

” Los modelos de seguridadconsiderados se basanen métodos biométricos(reconomiento de huelladactilar, voz, iris...), o enla utilización de factoresmúltiples.“el modelo de servicio en la nube. Ambos responden a diferentesmodelos de negocio por lo que entrarán en competencia.Usuarios del servicioUno de los puntos más críticos para la seguridad de los pagosmediante móviles es probablemente la utilización quehace el usuario del teléfono. Los problemas en este ámbitolos podemos clasificar en tres áreas:1 Pérdida o robo del teléfono:Este riesgo es inherente a las características del dispositivo(pequeño y omnipresente). La activación de claves de seguridadpermite disminuir el riesgo, y entorpecer la extracciónde información, durante el tiempo que se tarda en notarla perdida y solicitar al operador que bloquee el terminalo las tarjetas de pago e identidad.El sistema iOS ofrece la posibilidad de localizaciónremota del teléfono perdido y, en caso de necesidad, elborrado automático de todos los datos del terminal.La tendencia a dejar el móvil encima de la mesa o encualquier sitio puede disminuir en la medida que utilicemosel móvil como medio de pago. Nadie deja su cartera encimade la mesa mientras se sienta a tomar un café o charlar.2 Utilización de claves no seguras:La necesidad de establecer y recordar claves para las diferentescuentas de los usuarios (PIN SIM, bloqueo de teléfono, bancaonline, cuenta de correo…) hace que muchos usuarios utilicenla misma clave o un esquema de definición simple de claves.Los fabricantes de teléfonos exploran la posibilidad deutilización de credenciales de usuario comunes para el accesotransversal a todas las aplicaciones, pero aún estamoslejos de contar con mecanismo seguros estandarizados.Los modelos de seguridad considerados se basan principalmenteen métodos biométricos, o en la utilización de factoresmúltiples de seguridad. La próxima generación de teléfonosinteligentes es probable que empiece a incluir el acceso seguroa través de diferentes métodos biométricos tales como elsistema TouchID del iPhone 5S, basado en el acceso mediante26 #InformeNae Seguridad de la información y las transacciones

” Un 77% de las amenazasde malware podríahaberse evitado con laactualización a la últimaversión del sistemaoperativo.“huella dactilar. Otros métodos basados en reconocimientofacial, de iris, o voz, también están siendo considerados.3 Aplicaciones malintencionadas (malware):El crecimiento del malware en los móviles es preocupante,particularmente en los terminales Android, quealcanzaban el 70% del mercado a finales del 2013.La estrategia abierta de esta plataforma y la diversidad deversiones y tiendas de aplicaciones, ha hecho que sea blancofácil para los hackers. Se estima que un 77% de estas amenazaspodría haberse evitado con la actualización a la última versióndel sistema operativo. Cuando sólo un 4% de los usuariostotales de Android tienen el sistema actualizado. La mayorparte del malware trata de explotar agujeros en los sistemasde pago por móvil o el acceso a servicios Premium SMS.En los teléfonos con iOS el riesgo hasta la fecha ha sidomenor debido el carácter propietario de este sistemaoperativo y gracias al control que realiza Apple al incluirnuevas aplicaciones en su tienda online. Sin embargoalgunas aplicaciones malintencionadas pueden saltarseeste mecanismo de control y activar funciones noseguras posteriormente 6 . Por otra parte algunos usuariosde iOS, para flexibilizar la carga de aplicaciones y elacceso a contenidos, liberan sus terminales del bloqueode Apple (Jailbreak), este desbloqueo naturalmenteaumenta el riesgo de infecciones por malware.Dado que los fabricantes de móviles y desarrolladores desistemas operativos no son lo suficientemente rápidos paradetectar y eliminar los agujeros de seguridad, al igualque ha ocurrido con los ordenadores personales, seránecesario contar con el valor añadido de las aplicacionesespecializadas en antivirus de confianza.Comercios y Terminales de Punto de VentaLos Terminales de Punto de Venta (TPV) en general sondispositivos que procesan los pagos mediante sucomunicación, por una parte, con el dispositivo (móvil otarjeta) del usuario, y por otra, con el sistema de mediosde pago. Estos dispositivos pueden ser terminalesespecíficos TPV, ordenadores fijos tipo PC adaptados aesta función o incluso móviles estándar con un softwarey/o hardware específico.– 6The Inquirer: Apple App Store bypassedto spread malware on iOS, Aug. 2013.En cualquiera de los tres casos, estos terminales deben estarconectados a la red de medios de pago, bien a través dela red Móvil GSM directamente, o mediante la red fijapor medio de ADSL o fibra. En muchas de las aplicaciones,los TPVs se comunican vía WIFI con el enrutador (router)27#InformeNaeSeguridad de la información y las transacciones

” En los comercios querequieran una configuracióncon conexión a internet,se recomienda la utilizaciónde un sistema de proteccióntipo firewall que garanticela zona segura de la redlocal de TPVs.“que a su vez comunica con la red publica, y ésta enlaza conel sistema de medios de pago.En estas configuraciones más complejas existen trespuntos de vulnerabilidad:• Comunicación teléfono - TPV mediante NFC (Contactless).• Comunicación TPV - enrutador mediante WiFi.• Enlace enrutador - internet.El punto más crítico de esta cadena es el enlace exteriordel enrutador hacia internet, debido a posibles intrusionesmalintencionadas a través de internet:• En las entidades del sector financiero los enlaces exterioresconectan con una red privada virtual (RPV), por lo quese garantiza un nivel de seguridad superior al uso directode las redes públicas.• En los pequeños comercios con uno o dos TPVs, estos sepueden conectar directamente a la red GSM, por lo quese evita su conexión directa a internet.• En los comercios que requieran una configuración conconexión a internet, se recomienda la utilización de unsistema de protección tipo firewall que garantice la zonasegura de la red local de TPVs.En los sistemas tradicionales de medios de pago, la tarjetabancaria ha ido evolucionando para mejorar la seguridaden los comercios y evitar su manipulación o copia:1 Inicialmente la tarjeta tenía los datos de identificaciónimpresos en el plástico y la operación se realizaba offline,mediante la copia de dichos datos a través de un mecanismode presión con papel autocopiativo. El elemento de seguridadera la firma del cliente en el impreso correspondiente.El fraude en estos casos consistía en pasar varias vecesla tarjeta en impresos en los que posteriormente sefalsificaba la firma.2 Posteriormente se añadió la banda magnética que evitabael tratamiento manual, dificultando el fraude. Pronto laduplicación de bandas magnéticas se hizo más accesible,permitiendo a los delincuentes obtener duplicados de tarjetasen comercios e incluso cajeros de entidades financieras.Los TPV evolucionaron también permitiendo la utilizaciónde pines de seguridad establecidos por los usuarios.3 Las última generación de tarjetas añadió la utilización deun CHIP con aplicaciones criptográficas que añaden unnivel de seguridad adicional para dificultar la duplicaciónde las mismas.28 #InformeNae Seguridad de la información y las transacciones

” El sistema de comunicaciónNFC no proporcionainherentemente unmecanismo de seguridad,sino que son las aplicacionesque lo utilizan las que debengarantizar la protecciónde la información.“Comunicación sin contacto entre el teléfono y el TPVLa comunicación entre los teléfonos y los TPVs se realizaa través de NFC. Este sistema de comunicación noproporciona inherentemente un mecanismo de seguridad,sino que son las aplicaciones que lo utilizan las quedeben garantizar la protección de la información.Por ejemplo en las aplicaciones tipo TAG o cartel inteligente,no se incluyen mecanismos de seguridad avanzados pues loque se persigue es comunicar de forma pública la informaciónque se considera pertinente. Para ello existen multitud deaplicaciones que pueden leer e incluso clonar TAGs de tipo NFC 7 .Sin embargo las aplicaciones de pagos móviles incluyenen las tarjetas con CHIP-NFC mecanismos de protecciónbasados en criptografía con claves asimétricas del tipoRSA, con el mismo estándar EMV que se utilizan enlas tarjetas con microchip. Estos algoritmos criptográficosimpiden que se pueda descifrar la información inclusosi se tiene acceso cercano al dispositivo emisor.Redes de comunicaciones móvilesLa red GSM incluye su propio sistema de seguridad adicionalsobre la comunicación de datos que se produce entrelos dispositivos móviles, que a su vez pueden utilizar otrosmecanismos de seguridad entre las aplicaciones de origenen el dispositivo seguro y la aplicación de destino en elsistema de transacciones de pago.Los operadores móviles pueden intervenir en el proceso deprovisión del dispositivo seguro (ver apartado Gestoresde Servicio de Confianza).Redes/Sistemas de Medios de Pago y BancosEl sistema tradicional de pago a través de tarjetas se haconsolidado mundialmente como un sistema con un alto nivelde seguridad, particularmente con la introducción del modeloEMV promovido por Europay, Mastercard y VISA (ver capítuloRegulación y normativa).Gestores de Servicio de Confianza– 7NFC TagInfo by NXP y NFC Tag Cloner by ThomasRorvik Skjolberg, ambas en Google Play.La complejidad del sistema de medios de pago e identificaciónpersonal, en el cual intervienen múltiples actores (bancos,operadores móviles, entidades gubernamentales, compañíasde comercio y servicios, fabricantes, compañías de servicios de29#InformeNaeSeguridad de la información y las transacciones

Operador móvil 1Proveedor de servicios 1Operador móvil 2 Proveedor de servicios 2Gestor de Serviciode ConfianzaOperador móvil 3 Proveedor de servicios 3Operador móvil 4 Proveedor de servicios 4internet, etc.), ha creado la necesidad de definir un Gestor deServicio de Confianza independiente y neutral (Trusted ServiceManager, TSM). La responsabilidad del TSM se sitúa entre elresponsable del dispositivo seguro (en general operadoresmóviles) y los proveedores de servicio (bancos, comercios, etc.),evitando de esta manera la dificultad operativa de establecerun modelo de relación directo entre todos los operadores móvilesy todos los proveedores de servicios.La principal función del TSM en este contexto es facilitar lacarga inicial y el posterior mantenimiento de las aplicacionesy credenciales que cada usuario requiere. Esto puedeincluir tarjetas de crédito o débito de diversas entidadesbancarias, tarjetas de comercios, credenciales de usuario,abonos de transporte, tarjetas de fidelización, etc.El proceso de carga y mantenimiento en los dispositivosseguros debe realizarse en remoto a través de las redesmóviles o WiFi (OTA: Over The Air). Este proceso ademásde ser complejo, al utilizarse infraestructura y sistemasde los operadores móviles, requiere mecanismos deseguridad avanzada, tanto en los sistemas como en losprocesos utilizados.Los Gestores de Servicios de Confianza pueden ofrecertambién servicios de atención al cliente, facilitando laoperativa de entrega y mantenimiento de los serviciosglobales, al presentar a los clientes un interfaz integradohacía los servicios específicos de los operadores móviles,bancos y comercios.Por otra parte, los Gestores de Confianza podrían facilitarel proceso de negociación de los términos de serviciosentre los múltiples actores, actuando como puntos deintermediación común, evitando así la negociación ycierre de contratos multilateral que podría retrasar olimitar el lanzamiento de los servicios correspondientes.El papel del Gestor de Servicios de Confianza tiene muchosentido en el modelo de dispositivo seguro implementadoen la tarjeta UICC-SIM del teléfono. Sin embargo en unmodelo de dispositivo virtual seguro en red, este papel puedeser asumido por las empresas de servicios de internet.30 #InformeNae Seguridad de la información y las transacciones

8Regulacióny normativa” Para facilitar lainteroperabilidad, calidady seguridad de losservicios, existendiversas entidades queestán desarrollandorecomendaciones ynormativas deestandarización.“El desarrollo de los servicios móviles tanto para pago comopara identificación, y en general de comercio electrónicomóvil, está en una fase muy inicial y pendiente dedefinición en algunos de los aspectos más relevantes.Para facilitar la interoperabilidad y garantizar la calidad yseguridad de los servicios, existen diversas entidades que, enun entorno colaborativo y desde cada una de las perspectivasque intervienen en el ecosistema, están desarrollandorecomendaciones y normativas de estandarización:El Consejo Europeo de Pago (EPC: European Payment Council)es un organismo privado formado por bancos europeoscuya misión es coordinar y facilitar la toma de decisionesen el ámbito de pagos. El objetivo inmediato actual del EPCes promover y dar soporte para la implantación de la ZonaÚnica de Pagos en Euros (SEPA: Single Euro Payments Area).www.europeanpaymentscouncil.euLa Asociación GSM (GSMA) es un organismo que representalos intereses a nivel mundial (con presencia en 220países) de las compañías del sector de las comunicacionesmóviles, y que agrupa unos 800 operadores de redesmóviles y más de 200 empresas proveedoras de equipos,sistemas, servicios y consultoría.www.gsma.comLa Smart Card Alliance es una organización multisectorialsin fines de lucro, que trabaja para estimular la comprensión,adopción, uso y aplicación generalizada de la tecnología detarjetas inteligentes, principalmente en EEUU y otros paisesamericanos. La alianza invierte en la educación sobre losusos apropiados de la tecnología para la identificación, pagoy otras aplicaciones, y aboga por el uso de la tecnologíade tarjetas inteligentes de una manera que proteja laprivacidad y mejore la seguridad e integridad de los datos.www.smartcardalliance.orgEl NFC Forum fue formado para promover el uso de latecnología Near Field Communication mediante el desarrollode especificaciones, garantizando la interoperabilidad entrelos dispositivos y los servicios, y educando al mercado sobrela tecnología NFC. Creado en 2004, el foro cuenta con 190miembros. Los fabricantes, desarrolladores de aplicaciones,e instituciones de servicios financieros trabajan juntospara promover el uso de la tecnología NFC en electrónicade consumo, dispositivos móviles, y PC, entre otros.www.nfc-forum.orgEN 1999, las compañías Europay, MasterCard y Visa fundaronEMVCo con el propósito de desarrollar especificacionespara transacciones de pago seguras. Posteriormente se unieron31#InformeNaeRegulación y normativa

a este grupo American Express, JCV y UnionPay. Los miembrosde EMVCo han trabajado conjuntamente en los últimos añospara desarrollar especificaciones que definen un conjuntode requisitos para garantizar la interoperabilidad entre tarjetaschips y terminales a nivel mundial, sin importar el fabricante,la institución financiera, o cuándo se utiliza la tarjeta.También se han publicado especificaciones para tarjetasChip NFC y para integración en móviles con tarjetas UICC.www.emvco.comGlobalPlatform es una asociación multisectorial sin ánimode lucro y cuyo objetivo es identificar, desarrollar y publicarespecificaciones que facilitan el despliegue y la gestiónsegura e interoperable de múltiples aplicaciones integradasen la tecnología de chips.Las especificaciones de GlobalPlatform se han focalizadoen los Dispositivos Seguros (SE) así como en los Entornos deEjecución Segura de Aplicaciones (TEE). Estas especificacionespermiten soluciones de confianza de extremo a extremo quesirven a múltiples actores y apoyan varios modelos de negocio.www.globalplatform.orgEl Consejo de Normativas para la Seguridad delSector de Pagos con Tarjeta es un foro mundial abierto,creado en 2006 y responsable del desarrollo, la gestión,la educación y el conocimiento de las normativas deseguridad en el ámbito de los medios de pago contarjeta. Estas normas incluyen el Estándar de Seguridadde Datos (PCI DSS), el Estándar de Aplicaciones de Pago(PA-DSS) y los requisitos para el PIN de transaccionesseguras (PTS). Los cinco fundadores del consejo (AmericanExpress, Discover Financial Services, JCB International,MasterCard, y Visa Inc.) han acordado incorporar lanormativa PCI 8 para los requisitos técnicos de cada uno desus programas de cumplimiento de seguridad de datos.es.pcisecuritystandards.org– 8Payment Card Industry Data Security Standard,http://goo.gl/Z51QG432 #InformeNae Regulación y normativa

9Cadena de valory modelo económicoAgente Servicios Flujo económicoDesarrolladores de apps para móviles. Proporcionan la aplicación de usuario. Las aplicaciones en general son gratispara el usuario y el coste lo soporta laentidad comercial, el banco, la empresade internet o el operador móvil.Fabricantes de terminales móviles.Ofrecen el terminal (hardware ysoftware básico).El terminal móvil corre a cargo del usuariodirectamente, o de forma compartidacon el operador móvil mediante uncontrato de permanencia.Operadores móviles.Aportan los servicios de red ygeneralmente los teléfonos móviles.Las comunicaciones de datos necesariaspara las transacciones de compra lassoporta el usuario del servicio a suoperador móvil.Redes/Sistemas de pago.Permiten el intercambio de los datosde pago entre los comercios y bancosemisores y adquirientes.Los bancos pagan a los sistemasde pago correspondientes por cadatransacción realizada.Bancos.Emiten las tarjetas de pago yproporcionan la gestión de las cuentasbancarias de crédito (emisión) y abonode las operaciones (adquiriencia).Los bancos pueden cobrar una comisión alos usuarios por la emisión de las tarjetas,un interés mensual en las de crédito y unacomisión de recarga en las tarjetas con estamodalidad. También reciben una comisiónde los comercios sobre el valor de la compra.Operadores de redes fijas.Proveen las redes de comunicaciones alos bancos y redes de pago y también alos comercios que dispongan de red fija.Los bancos y redes pagan a losoperadores por el acceso y gestiónde la red de datos en función de lascapacidades y servicios demandados.Fabricantes de TPVs.Suministran los dispositivos y el softwarebásico para los comerciantes.El coste de estos terminales los puedesoportar el banco adquieriente delcomercio incluido en su servicio o elpropio comercio.Desarrolladores de software de Puntode Venta.Proporcionan el software para la gestiónde ventas de los comercios.Los grandes comercios pagan a lasempresas de software las aplicacionesnecesarias. En pequeños comerciospueden ser servicios completos en la nube.Comercios.Ofrecen a los clientes los productos oservicios demandados.Los usuarios pagan por los productos oservicios a través del móvil.Proveedores de Servicios de Confianza(TSM).Gestionan el alta de los usuarios finales,las credenciales y las claves de acceso.También puedan gestionar la atención alcliente para la carga de las aplicacionesen el terminal móvil.Cobran por alta y actualización deaplicaciones y claves.Compañías de internet puntocom.Proporcionan a los usuarios lasaplicaciones de los terminales móvilesy pueden proveer servicios de pago,tanto a usuarios como a comercios, conmedios tradicionales o propios.Las aplicaciones proporcionadas alos usuarios en general son gratis,los servicios de pago propios que sepuedan proporcionar estarán sujetosa comisiones tanto de alta del mediocomo por transacción o recarga decrédito realizada.33 #InformeNae Cadena de valor y modelo económico

” El acceso de los bancosa los medios de pagosupone obtener másinformación de perfilesy comportamientos decompra para rentabilizarsu publicidad.“Las tensiones en el flujo económico del ecosistema demedios de pago se producen en los dos objetivos principalesde negocio que definen las estrategias correspondientespara los principales actores: proteger el negocio actualy captar nuevas fuentes de ingresos.Operadores móvilesEl negocio actual de los operadores noestá amenazado directamente, dado quela infraestructura de la red que posibilitalos servicios básicos no es fácilmentereplicable.Sin embargo la oportunidad para losoperadores móviles es proporcionar másservicios de valor añadido desde la red.En este ámbito, los operadores no hanobtenido resultados destacables hasta elmomento.Los operadores pueden optar aobtener ingresos adicionales en subase de clientes:1. A través de cuotas a losproveedores de servicios por lagestión de las aplicaciones depago en el móvil.2. Comisiones en función del importeeconómico de las transacciones.BancosLas entidades financieras son el principalagente que intermedia en los mediosde pago y se posicionan para seguirhaciéndolo en los pagos por móvil, dadoque es una fuente de ingresos muysignificativa.El modelo de pago por móvil permiteextender los pagos con tarjetas alas transacciones de bajo importeque hasta la fecha se realizabanprincipalmente en efectivo.Empresas de servicios eninternet (puntocom)En este nuevo entorno de medios depago por móvil no sufren amenazassobre su negocio actual, pero necesitanrentabilizar su conocimiento sobre losusuarios de sus servicios.El acceso a los medios de pagosupondría tres beneficios básicos:1. Mantener el control de los clientesa través de las aplicacionesfinales (monedero electrónico).Este punto ha sido crítico conlos navegadores y sistemasoperativos y lo seguirá siendo conlos monederos electrónicos.2. Obtener más información deperfiles y comportamientos decompra para rentabilizar sunegocio de publicidad.3. En un futuro las empresaspuntocom podrían ofrecerservicios bancarios básicos, dadoque cuentan con los sistemas desoftware necesarios y una ampliacartera de clientes.Empresas de distribuciónEl negocio de las empresas tradicionalesde comercio sufre el impacto de lascompras online. En este ámbito laspuntocom como Amazon o eBay puedencaptar una parte de mercado mayorgracias a las compras online a travésdel móvil. Las empresas tradicionalesdeberían posicionarse igualmente comoproveedores de comercio online paradisminuir o frenar esta amenaza.Los comercios que se posicionenmejor en el nuevo modelo de pagospor móvil podrán incrementarsu cartera de clientes y tambiénestablecer nuevos esquemas defidelización.34 #InformeNae Cadena de valor y modelo económico

10Beneficios yoportunidades” Para lograr el desplieguemasivo de los mediosde pago por móvil esnecesario que los serviciosproporcionados respondana la demanda de losusuarios.“Beneficios para los usuariosLa asociación GlobalPlatform plantea la necesidad de desarrollarun modelo de negocio de servicios móviles basado en el cliente(customer-centric) y no en los emisores de las tarjetas (issuercentric).En este modelo es el cliente quien controla y decidelas aplicaciones que se cargan en el Dispositivo Seguro de sumóvil, al igual que hace accediendo a las tiendas de aplicacionesmóviles (app-Stores) para adquirir y cargar aplicaciones.Los posibles beneficios para los clientes serían:• Mayor seguridad que en el pago con tarjetas tradicionales.• Identificación segura con la inclusión del eDNI y pasaporte.• Integración de diversas tarjetas en un único Dispositivo Seguro.• Mejor control y seguimiento de gastos.• Menor necesidad de disponer de dinero en efectivo.• Facilidad para el pago en parkings, dispensadores automáticos, etc.• Acceso a promociones, descuentos y premios de fidelización.Para lograr el despliegue masivo de los medios de pagopor móvil es necesario que los servicios proporcionadosrespondan a la demanda de los usuarios, cumpliendolas expectativas y necesidades planteadas:• Sin coste adicional sobre los servicios actuales.• Servicios seguros con riesgo de fraude nulo para el usuario.• Un amplio catálogo de terminales con capacidad NFC.• Una manera clara y sencilla de gestionar los servicios através del teléfono móvil.• Disponibilidad de múltiples servicios tanto de mediosde pago, como de identificación, tarjetas de fidelización,transporte, etc.• Un servicio de atención al cliente integrado que norequiera contactar con múltiples compañías.• Facilidad y flexibilidad para la portabilidad de serviciosentre operadores móviles.• Un interfaz consistente entre múltiples proveedoresde servicio y operadores móviles.• Servicios de valor añadido para la gestión y el seguimientode operaciones.Comercios y empresas de serviciosEstas compañías deben proporcionar a sus clientes serviciosavanzados de comercio electrónico móvil que permitanfacilitar el consumo e incrementar su fidelidad. Los mediosde pago por móvil y otras aplicaciones adicionales permitenestablecer canales de comunicación más personalizados,y desarrollar un marketing relacional de valor añadidotanto para el cliente como para el comercio.35 #InformeNaeBeneficios y oportunidades

” El sector financiero seestá posicionando comoimpulsor del modeloy sentando las basespara competir con losnuevos entrantes, tantooperadores móvilescomo compañías deinternet.“Beneficios:• Facilitar el consumo con medios de pago por móvil.• Tarjetas de fidelización, cupones y descuentos.• Aplicaciones de comercio electrónico móvil.• Puntos de venta con menor coste de mantenimiento.• Introducción de nuevos modelos de negocio.Los requerimientos básicos prácticamente son los mismos quetienen los usuarios finales de los servicios, y se podrían añadir:• Acceso flexible a clientes de múltiples operadores móviles.• Acceso flexible a múltiples redes de pago con tarjeta bancaria.• Fácil desarrollo e integración de aplicaciones móviles propias.• Disponibilidad de un amplio catálogo de TPV-NFCe interoperabilidad con teléfonos de clientes.• Integración e interoperabilidad con los sistemas actualesde puntos de venta.• Carteles inteligentes internos/externos con capacidad NFC.• Posibilidad de transformar el modelo de cajas centrales en lastiendas por un modelo de caja distribuida en cada dependiente.Entidades financierasLas entidades financieras son líderes naturales del modelode intermediación en los pagos por móvil. En un contexto detransformación tecnológica, el sector se está posicionandocomo impulsor del modelo y sentando las bases para competircon los nuevos entrantes, tanto operadores móviles comocompañías de internet.Los beneficios para los bancos se centran en elposicionamiento diferencial sobre la competencia y en laposibilidad de captar un mercado mayor al acceder a pagosde menor cantidad. Además, el sistema de pagos segurospor móvil puede reducir considerablemente el fraude delas tarjetas, aunque requiere una inversión superior paraadaptar los sistemas y mejorar los procesos de gestión de losdatos de los usuarios y las transacciones correspondientes.Los requerimientos para los bancos deben ser principalmentelos requerimientos de sus clientes, tanto comercios comoconsumidores finales.Operadores de servicios móvilesLos operadores móviles juegan un papel central en el desplieguede los servicios de medios de pago por móvil. Para este mercadopróximo al nivel de saturación en los países desarrollados supone,por una parte, el acceso a nuevas fuentes de ingresos, y por otra,36#InformeNaeBeneficios y oportunidades

” Los operadores hanentendido la necesidadde establecer un marcocolaborativo centradoen el cliente, que permitaun desarrollo rápido yeficiente de los nuevosservicios, y facilite el accesomasivo de los usuarios.“la extensión de servicios de valor añadido que podría incrementarla demanda de teléfonos inteligentes de última generación.Los operadores han entendido la necesidad de establecer unmarco colaborativo centrado en el cliente, que permitaun desarrollo rápido y eficiente de los nuevos servicios, y faciliteel acceso masivo de los usuarios. En este sentido tanto enEEUU (ISIS: at&t, Verizon, T-Mobile) como en en el Reino Unido(WEVE: Orange, T-Mobile, Telefónica, O2, Vodafone) se hanestablecido acuerdos entre operadores para el desarrollo delos nuevos servicios de comercio electrónico móvil yparticularmente el monedero electrónico móvil.El lanzamiento del modelo de emulación de tarjeta medianteservicios en la nube (HCE: Host Card Emulation) puededesintermediar a las operadores móviles en este mercado,dado que ya no es necesaria su participación en la definiciónde los servicios finales. En este caso puede ocurrir lo mismoque ha pasado con el mercado de contenidos digitales y losproveedores de servicios sobre internet (OTT: Over-the-top 9 ).Fabricantes de terminalesEl despliegue de NFC permitirá a los fabricantes posicionarsefrente a la competencia y captar nuevos mercados queanteriormente no eran accesibles.Fabricantes de teléfonos móvilesLos grandes fabricantes de teléfonos inteligentes, exceptoApple, ya tienen un amplio catálogo de teléfonos compatiblesque abarca más de 100 modelos, entre ellos están versionesde los modelos más representativos de las principalesmarcas: Samsung Galaxy S4 y S3; Sony Xperia Z; LG OptimusL5, L7 y L9; Nokia Lumia; HTC ONE; Blackberry Z10.Fabricantes de terminales de puntos de venta y cajeros bancariosLos principales fabricantes ya producen versiones NFC de susproductos, entre ellos Ingénico, Verifone, Fujitsu y NCR.También se están sacando al mercado dispositivos y softwareque permite a los teléfonos móviles y tabletas actuar comoTerminales de Punto de Venta.Proveedores de software– 9Over-the-top content,http://goo.gl/5X1seyPara estas compañías el mercado de los servicios de comercioelectrónico móvil es una gran oportunidad por el desplieguemasivo que se está produciendo en estos momentos.37#InformeNaeBeneficios y oportunidades

En este ámbito se están posicionando nuevas compañíasespecializadas en servicios y software para las diversasnecesidades del mercado:Gemalto es un líder global en seguridad digital y su experienciaabarca todo el proceso de creación de soluciones digitalesde seguridad, tanto en el área de desarrollo de software ysistemas operativos seguros que se integran en dispositivosde confianza (tarjetas UICC, tarjetas bancarias, fichas,pasaportes electrónicos o tarjetas de identificación), comoen la personalización de estos dispositivos y el desplieguey mantenimiento del software y los servicios de gestión.www.gemalto.comOberthur Technologies (OT) desarrolla productos y solucionesde software necesarios para implementar y poner en prácticaservicios móviles seguros. Su experiencia en los últimosaños abarca los mercados de pagos, telecomunicaciones,transporte, y control de acceso e identidad.www.oberthur.comMonitise es un líder mundial en la tecnología de pagos por móvil.Su plataforma de software ha sido elegida por los principalesbancos, compañías de pagos, compañías de comercio minorista yoperadores de redes móviles para desarrollar sus servicios móviles.www.monitise.comGiesecke & Devrient (G&D) desarrolla, produce y distribuyeproductos y soluciones para el pago, la comunicación segura y laadministración de identidades. G&D mantiene una posición comolíder tecnológico y empresarial en estos mercados. El grupo tienecomo clientes a bancos centrales y comerciales, proveedores detelefonía móvil, empresas, gobiernos y administraciones públicas.www.gi-de.comFirstData es un proveedor líder de servicios de comercioy procesamiento de pagos electrónicos para lasinstituciones financieras, los gobiernos y los comerciantesen más de 50 mercados de todo el mundo, y ofrece:www.firstdata.com• Sistemas de proceso de datos de crédito y pago.• Gestión de cajeros automáticos y Terminales de Punto de Venta.• Servicios de valor añadido, tales como la gestión de riesgos y fraude.• Servicios de provisión, centros de atención a clientes y back office.Los nuevos entrantes puntocomLa oportunidad de entrar en el nuevo negocio deservicios móviles de pago es un entorno natural paracompañías como Google, Apple y Amazon. Estas38#InformeNaeBeneficios y oportunidades

” Las compañías puntocomsuperan en número declientes y conocimientode su comportamientoa los mayores bancos yoperadores globales.“” La entrada de losnuevos actores dependede su estrategia deposicionamiento, a laespera que desaparezcanlas barreras de entraday se clarifique la regulación.“compañías tienen las claves para posicionarse frentea los líderes de los negocios tradicionales que están enproceso de transformación (principalmente el sectorfinanciero y los operadores de servicios móviles):• Cartera de clientes y/o usuarios directos: cualquiera de estascompañías supera en número de clientes a los mayoresbancos y operadores globales y no sólo es el número, sinoel conocimiento del comportamiento de sus clientes.• Capacidad de desarrollo de aplicaciones móviles: estascompañías han nacido gracias a sus capacidades para eldesarrollo de aplicaciones de software en internet y llevancasi 20 años perfeccionando su propuesta de valor a basede desarrollos propios y adquisiciones.• Control de los sistemas operativos y navegadores de lossmartphones. Google, Apple y Microsoft controlan los sistemasoperativos y navegadores que proporcionan la ventana de losusuarios al mundo de las aplicaciones y las tiendas online.La entrada de estos nuevos actores está marcada por unaestrategia de posicionamiento previo en su desarrollo decapacidades, a la espera que desaparezcan las barrerasde entrada y se clarifique el entorno regulatorio.Hasta la fecha los hechos más significativos en esteposicionamiento son:– Google (Wallet) fue el primero en lanzar un servicio tipomonedero con capacidad para almacenar tarjetas y realizarpagos asociados a tarjetas de crédito tradicionales. Parausuarios de Gmail en EEUU permite transferencias directasde saldo a la cuenta del monedero. Actualmente estápromoviendo el modelo de servicio de pagos por móvil conemulación de tarjeta en la nube (HCE: Host Carda Emulation).www.google.com/wallet– Amazon (Payments) ha desarrollado un servicio que permiteal usuario pagar sus compras online en otras tiendas a travésde su cuenta en Amazon. También permite la transferenciade fondos entre usuarios.payments.amazon.com– Apple hasta la fecha solo ha lanzado un servicio pre-monederodenominado Passbook, que permite almacenar de forma conjuntatarjetas de fidelización, billetes de transporte, entradas y cuponesregalo. También está promoviendo la utilización de los iBeacons.www.apple.com– El Servicio Paypal, adquirido por eBay, permite a sus usuarioscomprar online sin necesidad de utilizar directamente sustarjetas con las tiendas web en las que opera.www.paypal.com39 #InformeNaeBeneficios y oportunidades

” Apple debe afianzar suestrategia de innovaciónpara continuar consu posicionamiento deexclusividad. Aunque enuna primera fase nose había posicionado enel mercado NFC, sí loestá haciendo con lastecnologías iBeacon.“iBeacon: el posicionamiento de AppleEn el año 2013 Apple se situó como el segundo fabricanteglobal de smartphones por ventas tras Samsung, con unacuota del 18%. Esto supone un disminución del 3,5 %respecto de su posicionamiento en 2012. Aunque lasventas del iPhone crecieron un 16%, Apple no pudocaptar el potencial de crecimiento global del mercadoen el último trimestre de 2013, que fue del 36%.Esta situación de pérdida de posicionamiento global con respectoa las plataformas Android y principalmente en relación a suprincipal competidor Samsung, no sólo es debido a la extensióndel mercado de smartphones a segmentos más orientados alprecio, sino también a que sus competidores han alcanzado eincluso superado las prestaciones y funcionalidades del iPhone.En este entorno competitivo Apple debe afianzar su estrategiade innovación para continuar con su posicionamiento deexclusividad. Una de las áreas de desarrollo tecnológico quepuede tener mayor impacto de negocio es el de los serviciosde pago por móvil, y aunque Apple en una primera fase no sehabía posicionado en el mercado NFC, sí lo está haciendode una forma más rupturista con las tecnologíasiBeacon http://es.wikipedia.org/wiki/IBeacon.iBeacon es una tecnología que se incluyó en el 2013 como unacaracterística de iOS 7 y consiste en la utilización de Bluetoothde bajo consumo como sistema de notificaciones emergentesen los móviles iPhone. A través de pequeños dispositivos concapacidad Bluetooth, denominados balizas, y que se fijan enparedes de edificios, comercios o en otros lugares públicos,la tecnología iBeacon permite, a las empresas u otrasentidades, enviar a los propietarios de teléfonos compatiblesnotificaciones emergentes personalizadas en función desu ubicación y la proximidad a las tiendas y productos.Este sistema está siendo considerado por las grandes marcascomo la próxima gran oportunidad en la publicidad:– Apple ya está comenzando el despliegue del sistema deiBeacon en sus tiendas: al entrar, los usuarios de iPhonepodrán recibir las ofertas del día y al acercarse a una nuevatableta iPad recibirán el video de presentación del producto.– Coca-Cola, por ejemplo, ha instalado balizas iBeacon duranteel mundial de futbol de Brasil, permitiendo a los usuarios deiPhone localizar dispensadores de Coca-Cola en funciónde su posicionamiento.– Philips está ya en fase de pruebas de un sistema de iluminaciónLED con balizas iBeacon integradas que permite a las tiendas40#InformeNaeBeneficios y oportunidades

enviar información de sus productos a los usuarios de iPhone.Estos, a través de una app específica, pueden visualizar elmapa de la tienda e incluso su posicionamiento en ella.Aunque el iPhone actual no es compatible con NFC, Appleestá desarrollando diversas patentes para lo que podrían sernuevas funcionalidades en el iPhone: NFC integrado en elsensor dactilar e integración de protocolos NFC y Bluetooth.Por otra parte los fabricantes de carcasas protectoras paramóviles como INCUBO, han desarrollado modelos queañaden capacidad NFC a los iPhone 5 y que ya han sidohomologados en servicios de monedero móvil como el de ISIScompatible con las redes de AT&T, Verizon y T-Mobile en USA.41 #InformeNaeBeneficios y oportunidades

11Barreras yamenazasAceptación de los usuariosProbablemente la mayor barrera para la penetración delos servicios de pago por móvil es que los posibles usuariosfinales no los utilicen en la medida que se espera para que elmercado crezca hasta el umbral que permita su desarrollo.A continuación se detallan los principales motivos querespondieron los consumidores en EEUU a una encuesta dela Reserva Federal Americana 10 realizada en marzo de 2013:38% - Me preocupa la seguridad de los pagos por móvil36% - Es más fácil pagar por otros medios35% - No veo ningún beneficio en los pagos por móvil30% - No tengo la funcionalidad necesaria en mi teléfono16% - No me fío de la tecnología14% - No entiendo la diferencia entre todas las opciones10% - No necesito hacer ningún pago10% - El coste de acceso de datos en el móvil es muy alto9% - No conozco tiendas que acepten el pago con móvil7% - Otros motivos5% - Instalar el servicio y activarlo es difícil y lleva mucho tiempo4% - Las tiendas en las que compro no aceptan el pago por móvil2% - No contesta” La mayor barrera para lapenetración de los serviciosde pago por móvil es quelos posibles usuarios finalesno los utilicen en la medidaque se espera.“Las compañías lideres del desarrollo del mercado de mediosde pago móvil, particularmente los bancos, operadoresmóviles y entidades comerciales, deben orientar susestrategias para responder a las necesidades planteadas porlos usuarios. En general estas estrategias deben plantearsede forma colaborativa a través de acuerdos multisectoriales.La administración pública debe facilitar esta aproximaciónestableciendo una regulación que garantice el desarrollode la libre competencia en cada uno de los sectores.Seguridad de la información– 10Consumers and Mobile Finances Services 2013,Federal Reserve, PDF: http://goo.gl/0P2OL2– 11Verizon 2014 PCI Compliance Report:http://goo.gl/Jtth6fLa seguridad de la información de los usuarios y sus transaccioneses sin lugar a dudas un requerimiento esencial, no solo paralos usuarios sino también para los bancos y comercios. Existeuna alarma generalizada ante los continuos casos de fraudey uso abusivo de datos en diferentes empresas del sector.Según un estudio de Verizon de 2014 11 , en Europa solo el31% de las empresas (cadenas minoristas y proveedores deservicio) que gestionan información de tarjetas de pagocumplen los 12 requisitos de las recomendaciones PCI (verapartado Seguridad de la información y transacciones).42#InformeNaeBarreras y amenazas

” Se debe reconsiderar lasituación de que estosestándares de seguridadsean recomendacionesy pasen a ser normativasde uso obligatorio.“” La administración públicaes responsable de regularservicios públicos comoseguridad e identificación,salud, transporte…Y debe tener un papelde liderazgo junto al restode los actores.“Esto sitúa a Europa muy por detrás de EEUU, con un56%, y la región de Asia-Pacífico, con un 75%.Se debe reconsiderar la situación de que estos estándaresde seguridad sean recomendaciones y pasen a ser normativasde uso obligatorio, al igual que ha ocurrido con la Ley deProtección de Datos.También se debe considerar la necesidad y viabilidad del usode autenticación de doble factor, según configuración delusuario o para cantidades superiores a cierto umbral. Estesistema de doble factor consistente en la utilización, ademásdel código secreto (PIN), de un código de operación de unsolo uso recibido a través de SMS o dispositivo tipo token.Disponibilidad e interoperabilidad de los serviciosLa flexibilidad que exigen los clientes para que los serviciossean interoperables está siendo amenazada por algunosplanteamientos proteccionistas sectoriales, tantode los operadores móviles como de los bancos y otrosproveedores de servicios.– El sector de los operadores móviles, que posee el controldel Dispositivo Seguro (el móvil), se ha propuesto tener unpapel significativo en el nuevo negocio de pagos móviles,no limitándose a la mera transmisión de datos, al igualque ha ocurrido en el mercado de contenidos y aplicacionesen internet.– El sector bancario, que posee el control de los servicios depago con tarjeta, tiene el objetivo de hacer crecer su negocioen el ámbito de las aplicaciones de comercio electrónico móvil.– Los proveedores de terminales, aplicaciones y serviciosinternet se han propuesto aprovechar la infraestructura deoperadores móviles y bancos para captar nuevo negocio,en este caso apalancándose en el control final de laaplicaciones o los terminales.Esta situación de control distribuido de la cadena de valorpuede originar una situación de mercado con solucionesfragmentadas no interoperables, que retrasaría el desarrollodel mismo. Por otro lado, la administración pública esresponsable directa de regular servicios públicos críticos,tales como seguridad e identificación (DNI y pasaporte),salud (tarjeta sanitaria) y transporte (tarjetas de abonoy billetes) y por ello debe tener también un papel deliderazgo junto al resto de los actores principales.43 #InformeNaeBarreras y amenazas

12Atributos delos serviciosde pago pormóvilEl mercado de los servicios de pago por móvil se encuentra enuna fase de definición del modelo inicial y desarrollo posteriorhacia el modelo final. Por lo tanto, es necesario reflexionarsobre las bases en las que se asienta el modelo para asegurarque dicha evolución permitirá cumplir la expectativas de losclientes, asegurando la viabilidad de los modelos de negociode las empresas que contribuyen en la cadena de valor.Para dinamizar esta reflexión se plantean los siguientesatributos que, desde una perspectiva centrada en elcliente, son imprescindibles para la adopción de losnuevos servicios y el desarrollo pleno del mercado:AtributosDescripción1. Seguridad Los datos de identificación y claves de los clientes, así comolas transacciones, deben ser seguras, utilizándose mecanismosde encriptación de extremo a extremo que garanticen laconfidencialidad. Los procesos de tratamiento de informacióndeberán estar certificados y sujetos a auditorías periódicas.2. Transparencia y confidencialidad Los usuarios de los servicios deberán tener capacidad decontrol y acceso a la información personal y transacciones quemanejan los proveedores de los servicios, de tal forma que seasegure el grado de confidencialidad que los usuarios requieran.3. Universalidad del servicio Los medios de pago por móvil deberán ser aceptados de formageneralizada en cualquier tipo de entidad comercial que aceptetarjetas. No debe existir umbral mínimo de gasto. La emisión detarjetas de pago a débito no podrá denegarse a ningún usuario.4. Portabilidad Los usuarios podrán portar sus servicios de pago o identificaciónde un operador móvil a otro de forma inmediata y sin costeadicional, al igual que se realiza actualmente para el serviciotelefónico móvil. Para el usuario no será necesario volvera reactivar o contratar los servicios de pago que ya estuvieradisfrutando.5. Simplicidad y consistencia El interfaz de acceso para la configuración de los medios depago e identificación deberá ser simple para que cualquierusuario, independientemente de sus conocimientos técnicos,sea autosuficiente en la puesta en marcha de los servicios.Los procesos y funciones básicas deberán ser homogéneas eindependientes del proveedor de servicios, dado que en casocontrario pueden inducir a los usuarios a errores en su utilización.6. Accesibilidad y fiabilidad La cobertura geográfica del servicio deberá ser máxima, por loque será necesario que existan acuerdos entre los operadoresmóviles para maximizar la disponibilidad del servicio tantoen exteriores como interiores. Los proveedores de servicios depago deberán proporcionar acuerdos de nivel de servicio queincluyan indicadores de disponibilidad del sistema y del tiempode respuesta de la operaciones.7. Servicios de valor añadido Los servicios finales de monedero electrónico tendrán unafuncionalidad básica común homogénea sobre la que sepodrán definir servicios de valor añadido diferenciales (registrode operaciones, alarmas de uso, análisis de gasto, etc.).8. Gratuidad del servicio universal La utilización de los servicios de pago por móvil no estará sujetaa comisiones para los usuarios. Los servicios premium de pagosólo podrán asociarse a servicios de valor añadido diferenciales.44 #InformeNaeAtributos de los servicios de pago por móvil

13Conclusióny recomendaciones” El crecimiento del negociopuede verse estancado oexperimentar un crecimientomayor si se orienta hacia unmodelo sostenible centradoen las necesidades de losclientes y que asegure laviabilidad de las empresas.“Los servicios de pago por móvil y otros nuevos serviciosmóviles asociados contribuyen de una forma muy importanteal desarrollo de la sociedad de la información y tienenun alto impacto en la vida cotidiana de los usuarios. Elcrecimiento actual de este negocio, que es superior al 30%anual, puede verse estancado o experimentar un crecimientomayor si se orienta hacia un modelo sostenible centrado enlas necesidades de los clientes, y que asegure la viabilidadde las empresas que contribuyen en la cadena de valor.Las empresas en los principales sectores implicados(entidades financieras, operadores móviles, compañíasproveedoras de equipamientos, software y servicios)corren el riesgo de centrarse en estrategias basadas enmodelos protectores del status de su respectivo sectorcomo consecuencia, pueden bloquear las iniciativas dedesarrollo de modelos abiertos transversales centrados enlas necesidades de los clientes. Este enfoque podría teneréxito a corto plazo, pero está abocado al fracaso en unmercado en continua transformación como el de las TIC.Para reforzar las estrategias transversales abiertas, en unecosistema tan fragmentado y complejo, es imprescindible quelos organismos de regulación y estandarización establezcanplanteamientos ambiciosos que favorezcan un entornocolaborativo, a la vez que competitivo, entre los diferentesactores principales. Se debe garantizar la universalidad,seguridad, simplicidad, flexibilidad y calidad del servicio al cliente.Por último, los organismos de la administración pública tienenla oportunidad y el deber de participar en el ecosistema, nosolo como espectadores, sino también liderando la definiciónde un modelo que facilite el desarrollo eficiente de serviciospúblicos como el de la sanidad, la identificación y el transporte.45 #InformeNaeConclusiones y recomendaciones

14ReferenciasGreen Paper: Towards an integrated European marketfor card, internet and mobile payments. EuropeanCommission, Final Document, 2012 - http://goo.gl/gfhL9vMobile Contactless Payments Service ManagementRoles. European Payments Council / GSMA, Version2.0, October 2010 - http://goo.gl/utQH7GMobile Wallet Payments. European Payments Council,Version 2.0, January 2014 - http://goo.gl/gFzaklConsumers and Mobile Financial Services 2013.Board of Governors of The Federal ReserveSystem, March 2013 - http://goo.gl/QxMHlbWhite Paper: The Mobile Payments and NFCLandscape: A U.S. Perspective. Smart Card Alliance,September 2011 - http://goo.gl/nqxWtaA New Model: The Consumer-Centric Model and HowIt Applies to the Mobile Ecosystem. GlobalPlatformWhitepaper, March 2012 - http://goo.gl/LzcaVWA Guide To EMV, EMVCo, Version 1.0, May2011 - http://goo.gl/RrG6URMobile Threats Report. Juniper Networks, ThirdAnnual 2013 - http://goo.gl/eEFGh246 #InformeNaeReferencias

Nae trabaja con operadores de telecomunicaciones,grandes empresas y administraciones públicas paraanticipar los retos de crecimiento y transformación delmercado, mejorando su estrategia de negocio y eficienciaoperativa. Nuestro modelo de trabajo garantiza laexperiencia y el conocimiento de nuestros profesionales,así como la metodología y las herramientas paragestionar retos estratégicos en entornos de altacompetitividad y complejidad.www.nae.es