Migrazione a CB2 I sistemi di pagamento con carta sulla rete carburanti 15 Maggio 2012 15 Maggio 2012
Indice Sistemi di automazione delle stazioni di servizio Pagamento Outdoor: pre-autorizzazione e notifica Requisiti CB2 (vs. CB1) CB1 Lesson Learned Sistemi di Pagamento CB2 per la rete carburanti Migrazione del parco installato CB1 a CB2 Status Certificazioni CB2 15 Maggio 2012
Pagamenti con carte, Indoor Sistemi di automazione delle stazioni di servizio Bank Pagamenti con carte, Indoor Chiosco Pagamenti con carte Outdoor: Pagamento al terminale di piazzale Pagamento alla pompa. 15 Maggio 2012
Bank Bank Acquirer Issuer Merchant Cardholder 15 Maggio 2012
Pagamento outdoor: pre - autorizzazione e notifica Richiesta di Autorizzazione Importo Massimo Erogabile Bank Erogazione Notifica Importo Erogato …….. Addebito/Accredito 15 Maggio 2012
Pagamento outdoor: pre - autorizzazione e notifica Peculiare del rifornimento carburante self service. Massimo importo autorizzabile Impegno Plafond Tempistica completamento Costi connettività 15 Maggio 2012
Processor Acquirer Bank GT OLI Bank Issuer 15 Maggio 2012
Bank Bank Acquirer Processor 1 Processor 2 GT 2 GT 1 GT 3 Processor 3 GT n OLI Bank Issuer 15 Maggio 2012
Pagamento outdoor: pre - autorizzazione e notifica HGEPOS anni ‘90 - Carte a chip. - Protocollo ISO 8583 CB1 ( Consorzio Bancomat 1 ) dal 2006 CB2 (Consorzio Bancomat 2) dal 2012 15 Maggio 2012
Aggiornamento Software Applicazione EPS in Modulo Sicuro Requisiti CB2 (vs. CB1) Incremento Protezione Cardholder Data Mutua autenticazione PIN Pad – Acquiring Host Multi-Acquiring Aggiornamento Software Applicazione EPS in Modulo Sicuro Nuove Modalità Key Injection/Loading 15 Maggio 2012
L’esperienza della migrazione CB1 insegna …… Catena di acquiring e autorizzazione lunga e complessa Pre - Autorizzazione e Notifica peculiare e poco utilizzata Pre - Autorizzazione e Notifica sotto-specificata Lungo processo di adeguamento dell’infrastruttura di GT e Processors Sistemi autorizzativi in OLI non adeguati a Pre-Aut. & Notifica Il lancio del CB2 richiede attenzione dai vari attori della catena autorizzativa e di pagamento. Un adeguato periodo di sperimentazione. 15 Maggio 2012
Migrazione da CB1 a CB2 15 Maggio 2012 La migrazione da CB1 a CB2 richiede un aggiornamento hardware e/o /software? Per quanto in alcuni casi l’architettura dei sistemi installati si modifichi significativamente, ciò che è’ richiesto è un aggiornamento software, possibile anche da remoto, e la sostituzione o aggiunta del/i terminale/i EFT, che ospita l’applicazione di pagamento. Cosa implica l’implementazione della mutua autenticazione tra PIN Pad e Host Bancario? Sui terminali/PIN Pad devono essere caricate quantità di sicurezza (certificati/chiavi) analoghe a quelle caricate sugli host bancari, che garantiscano l’autenticità della PIN Pad. In generale tale operazione richiede un passaggio in camera sicura delle apparecchiature e dunque nel caso di migrazione dei sistemi CB1 installati a CB2 si rende necessario uno swap out di PIN PAD/Terminali EFT, che in alcuni casi richiede lo swap out della testa OPT. Non sono escluse a priori però soluzioni che consentano l’operazione di caricamento dei certificati da remoto. Nel caso di migrazione di apparecchiature CB1 installate in campo a CB2, è dunque richiesto un intervento in campo? In generale sì alla luce delle considerazioni precedenti; laddove anche le operazioni fossero semplificate, tale intervento è comunque fortemente consigliato per la criticità del processo di migrazione. Quali sono le implicazioni dal punto di vista metrologico, cioè necessità di un collaudo di posa in opera o di verifica prima in campo nel caso di apparecchiature non MID? E’ necessaria la sola verifica periodica, salvo il caso di swap out della testa OPT, nel qual caso si può rendere necessario il collaudo di posa in opera. Implicazioni legate all’eventuale applicazione del Mix & Match? Nessuna differenza rispetto alle attuali procedure Implicazioni e relative azioni necessarie nel caso di modifica di caratteristiche sensibili per altri tipi di certificazioni cui l’apparecchiatura è soggetta (conformità CE)? Nessuna 15 Maggio 2012
Caso a) Stazioni con livello di automazione medio (semi-distribuite) Chiosco CB1 Bank Terminale EFT Outdoor EPS OPT Pump/Site Controller PIN Pad 15 Maggio 2012
Caso a) Stazioni con livello di automazione medio (semi-distribuite) Chiosco CB2 Bank OPT Pump/Site Controller Outdoor EPS 15 Maggio 2012
Bank CB1 Convenience Store Caso b) Stazioni con livello di automazione elevato (distribuite) Convenience Store POS/BOS Site/Pump Controller Indoor/Outdoor EPS Bank CB1 Indoor PIN Pad OPT Outdoor PIN Pad 15 Maggio 2012
Bank CB2 Convenience Store Caso b) Stazioni con livello di automazione elevato (distribuite) Convenience Store POS/BOS Site/Pump Controller Bank Terminale EFT Indoor EPS CB2 OPT Outdoor EPS 15 Maggio 2012
Bank CB1 Convenience Store Caso c) Stazioni con livello di automazione elevato (distribuite) Convenience Store POS/BOS Site/Pump Controller Bank Terminale EFT CB1 OPT Pin Pad Outdoor EPS 15 Maggio 2012
Bank CB2 Convenience Store Caso c) Stazioni con livello di automazione elevato (distribuite) Convenience Store POS/BOS Site/Pump Controller Terminale EFT Bank CB2 OPT Outdoor EPS 15 Maggio 2012
Status Certificazioni CB2 Tutti i fornitori di sistemi del settore hanno in corso certificazioni CB2; Si prevede che entro metà 2012 tali certificazioni siano disponibili; Nella seconda metà del 2012 saranno pertanto disponibili apparecchiature di stazione pronte per sperimentazione; Le architetture dei sistemi di pagamento sono in linea con le configurazioni viste in precedenza; L’eventuale adeguamento a CB2 dei sistemi installati richiede interventi in linea con il processo descritto in precedenza; 15 Maggio 2012
Conclusioni Pagamenti outdoor con carta hanno una grande potenzialità di crescita. Larga base installata di OPT + selfizzazione obbligatoria diffusione capillare del servizio ( almeno tecnicamente) . Stanno arrivando nuove tecnologie C-Less, telefoni cellulari a tecnologia NFC. Può bastare……… Modifica delle abitudini. Campagne di guerra al contante…… Aumentare la «confidence» degli automobilisti sulla sicurezza del pagamento con carta in self service. Timore di clonazioni e frodi. Sistemi anti skimming. Migliorare l’interfaccia utente e la facilità di utilizzo per l’utente «medio». Incentivi «concreti» alla modalità di pagamento con carta. Miglior connettivita’ e velocità di comunicazione (ADSL,……) 15 Maggio 2012