MX2012008408A

MX2012008408A - Sistema de pago con valor almacenado confiable que incluye terminales de comerciantes no confiables.

Info

Publication number: MX2012008408A
Application number: MX2012008408A
Authority: MX
Inventors: Mordechai Teicher; Nebojsa Djurdjevic; Milos Dunjic
Original assignee: Cardis Entpr Internat N V
Priority date: 2010-01-19
Filing date: 2011-01-05
Publication date: 2014-02-27
Also published as: WO2011089533A2; IL220988A0; BR112012017838A2; CA2787325A1; US20110178884A1; JP2013527944A; ZA201206128B; SG182575A1; RU2012133283A; AU2011208401A1; EP2526515A2; WO2011089533A3; TN2012000365A1; CL2012002008A1; CN102893297A

Abstract

Un sistema de pago con valor almacenado incluye tarjetas confiables y terminales de comerciante no confiables. La seguridad es mejorada por la tarjeta que recibe un monto de valor almacenado sólo hasta que la tarjeta confirme que un monto que es al menos igual al monto recibido es pagado por la tarjeta en la terminal. La tarjeta puede proporcionar a la terminal un registro de pago verificable para una cantidad que se calcula por la tarjeta al restar el valor recibido por la tarjeta del valor pagado por la tarjeta. Otras características de seguridad pueden incluir un certificado de terminal que es actualizado a la liquidación e incluye una hora de expiración de la terminal y un registro de hora de la tarjeta que es actualizado a la transacción del pago con una terminal válida vigente.

Description

SISTEMA DE PAGO CON VALOR ALMACENADO CONFIABLE QUE INCLUYE TERMINALES DE COMERCIANTES NO CONFIABLES CAMPO DE LA INVENCIÓN Esta invención se relaciona con sistemas de pago con tarjeta, y particularmente, con sistemas de pago con tarjeta de consumidor que almacenan y hacen transacciones con valores almacenados.

DESCRIPCIÓN DE LA MATERIA RELACIONADA Sistemas de Pago con Tarjeta El pago con tarjeta es común y ha reemplazado el efectivo en numerosos pagos del consumidor alrededor del mundo. Los métodos de pago con tarjeta se pueden categorizar en cargo y valor almacenado.

En pago con cargo, una tarjeta corresponde a la cuenta de un tarjetahabiente que se maneja en un servidor de una institución financiera, o un proveedor de servicios (ej . , operador móvil, procesador de pagos, gran minorista, etc.). La cuenta puede representar la deuda del tarjetahabiente, y entonces la tarjeta se considera una tarjeta de crédito; o puede ser una cuenta de banco, y entonces la tarjeta se considera una tarjeta de débito; o puede ser una cuenta pre-pagada, y entonces la tarjeta se considera una tarjeta pre-pagada.

En pago por valor almacenado, la tarjeta es cargada con dinero virtual (valor almacenado) comprado usando efectivo o cargos convencionales, y se usa para hacer pagos en terminales de valores almacenados de comerciantes compatibles que recolectan y acumulan los valores almacenados . El comerciante presenta periódicamente el valor almacenado acumulado para su cobro, que termina siendo el valor monetario total del valor almacenado acumulado que sé añade a la cuenta bancaria del comerciante .

El pago con cargo y el pago con valor almacenado pueden co-existir y, de hecho, complementarse. Desde el punto de vista de las instituciones financieras que operan sistemas de pago, el cargo se considera más seguro que el valor almacenado, pero es más caro hacer transacciones que con el valor almacenado. Por lo tanto, un sistema de pago con tarjeta se puede optimizar usando valor almacenado para los pagos más pequeños, mientras que se usa el cargo tanto para pagos más grandes y para la compra del valor almacenado cargado en la tarjeta.

Un sistema típico . de pago con cargo involucra cinco participantes principales: • Un tarjetahabiente que hace los pagos.

• Un comerciante que recibe los pagos.

• Un emisor - una institución financiera que hace interfaz con los tarj etahabientes al proporcionarles las tarjetas y recolectar el dinero para los pagos hechos con tarjeta.

• Un adquiriente - una institución financiera que hace interfaz con los comerciantes al proporcionarles o aprobar las terminales de los comerciantes y reembolsando la mercancía en dinero por los pagos recibidos con tarjeta.

• Una organización de pagos (también conocida como esquema de pagos o red de pagos) , tal como Visa y MasterCard, que regula el sistema de pago y coordina los pagos entre los emisores y los adquirientes.

Los sistemas de pago con valor almacenado involucran un participante adicional: un emisor de valor almacenado que genera el valor almacenado, lo vende a los tar etahabientes y lo compra a los comerciantes. El emisor del valor almacenado puede ser uno de los emisores de tarjetas, o ser un organismo dedicado especializado en la emisión y pago de valor almacenado.

Seguridad y Auditoría Los sistemas de pago atraen el fraude, lo que expone a los emisores de tarjetas a riesgos sustanciales. Como resultado, todos los sistemas de pago incluyen mecanismos de seguridad que combinan medidas tecnológicas y administrativas. En la cima de las medidas de seguridad, los sistemas de pago utilizan mecanismos de auditoria que monitorean la operación del sistema de pagos, verifican continuamente la efectividad de la seguridad y detectan violaciones de la seguridad, identifican la fuente y miden el daño.

Los sistemas de pago con cargo han implementado tradicionalmente una autorización en linea para cada transacción de cargo individual; la liquidación, pago y reporte de cada transacción individual; y toda la contabilidad como un mecanismo de auditoria. Esto ha hecho que el pago con cargo sea relativamente caro y que su operabilidad y conflabilidad sean dependientes de la disponibilidad, desempeño y conflabilidad de la comunicación electrónica. Cuando la operabilidad fuera de linea era una necesidad, las medidas administrativas, tales como pasar la responsabilidad del emisor al comercio o limitar los pagos fuera de linea sólo a sumas pequeñas, proporcionaba soluciones factibles.

La seguridad del valor almacenado es depende en gran medida de la tecnología que se use para almacenar y hacer transacciones con el valor almacenado. Hasta la llegada de la tarjeta pequeña, todas las tecnologías para almacenar valores habían sido inadecuadas para asegurar un sistema de pagos basado en valor almacenado de cartera general, y por lo tanto el pago con valor almacenado estaba limitado a aplicaciones específicas, en donde las ventajas del pago con tarjeta justificaba la aceptación de daños por fraude sustanciales, y era el caso con las tarjetas telefónicas y algunos boletos de tránsito en masa. La auditoría en dichos sistemas estaba basada en la comparación del ingreso total por la venta de valores almacenados y el consumo total de los servicios respectivos, que generalmente demostraba daño sustancial aún aceptable justificado por las ventajas operacionales respectivas de pago sin efectivo.

Tarjetas Inteligentes Una tarjeta inteligente combina el chip a prueba de robos y criptografía avanzada que ofrece un nivel sin precedentes de seguridad para el almacenado e intercambio de datos. Cuando las tarjetas inteligentes alcanzaron un equilibrio suficiente entre el desempeño y el costo, la industria de pagos desarrolló y comercializó dos aplicaciones para pago con tarjeta inteligente: tarjetas de cargo con chip y tarjetas de valor almacenado para fines generales .

Debido a que la mayoría de las tarjetas de cargo son interoperables entre bancos y fronteras, tienden a adoptar los estándares de la industria global. Europay, MasterCard y Visa establecieron entonces un estándar de la industria global para el pago de cargo con tarjeta inteligente, que se conoce como el estándar EVM. El estándar EVM ofrece mayor seguridad así como operabilidad fuera de línea mejorada en comparación con las tarjetas de crédito y débito que usan bandas magnéticas.

En la frontera de los valores almacenados, que no existía como un producto bancario sustancial antes de las tarjetas inteligentes, varias tentativas bancarias arrojaron diferentes productos, tales como Mondex, Protón, MasterCard Cash y VisaCash . Todos estos productos demostraron suficiente seguridad, aunque fallaron comercialmente debido a que la necesidad para recargar regularmente el valor almacenado en la tarjeta mediante un procedimiento manual, hizo que la mayoría de los consumidores las dejaran, mientras que la falta de soluciones de auditoría costeables y el negocio incierto, hizo que la mayoría de los banqueros las dejaran.

Mejoras Previas en los Sistemas de Pago con Valor Almacenado El presente inventor y el presente cesionario han inventado y desarrollado tres innovaciones básicas ideadas para sobrepasar la debilidad de tarjetas inteligentes con valor almacenado: La Patente Estadounidense No. 5,744,787, titulada "System and Method for Retail", y la Patente Estadounidense No. 6,076,075, titulada "Retail Unit and a Payment Unit for Serving a Custo er on a Purchase and Method for Executing the Same", ambas incorporadas mediante referencia como si se establecieran en su totalidad en este documento, muestran un mecanismo de Carga y Cambio. Bajo Carga y Cambio, una tarjeta y una terminal de pago incluyen funcionalidades tanto de cargo como de valor almacenado; los pagos más grandes son referidos automáticamente a cargo, mientras que los pagos más pequeños son pagados ya sea mediante valor almacenado de la tarjeta (si está disponible el importe apropiado de valor almacenado) , o un importe de cargo mínimo (por ejemplo, $25) se carga a la tarjeta, y el resto ($25 menos el precio de compra) es devuelto en valor almacenado de la terminal de pago a la tarjeta. La ventaja de Carga y Cambio está en la eliminación del peso de la carga del valor almacenado para los tarjetahabientes, mientras que también elimina el costo de procesar las transacciones por cargo que son más pequeñas que el importe de cargo mínimo.

Las patentes estadounidenses Nos. 6,119,946 y 6,467,685, ambas tituladas "Countable electronic monetary system and method" e incorporadas por referencia como si se establecieran en su totalidad en este documento, añaden una funcionalidad de auditoría costeable para el valor almacenado, al representar el valor almacenado en monedas electrónicas con números de serie de varias denominaciones. Cada transacción de valor almacenado involucra monedas que se mueven entre la tarjeta y la terminal del comerciante, frecuentemente en ambas direcciones. Las monedas son sistemáticamente mostradas en un punto central, lo que hace que el valor almacenado sea rápida y efectivamente detectable, medible, y rastreable.

La patente estadounidense No. 6,065,675, titulada "Processing system and method for a heterogeneous electronic cash environment", también incorporada mediante referencia como si se estableciera en este documento en su totalidad, muestra la integración transparente de un sistema de valor almacenado en modos operacionales y modelos de negocios de sistemas de pago con crédito y débito existentes.

La combinación de las tres mejoras anteriores, sobrepasa las deficiencias pasadas de un micropago por valor almacenado/pago por bajo valor descritas anteriormente. Sin embargo, la migración de una enorme base instalada de tarjetas de crédito y débito para acomodar también los micropagos de valor almacenado, aún prueba que es un reto operativo y comercial principal.

La Necesidad de Más Mejoras de Pago por Valor Almacenado Los sistemas de cargo EVM (crédito y débito) se abren más y más mercado. Las instituciones bancarias y no bancarias también ofrecen otros mecanismos de cargo. Un mercado que migra a pago con cargo EVM actualiza las tarjetas del tarjetahabiente a tarjetas inteligentes, y las terminales de los comerciantes a terminales que pueden hacer interfaz con las tarjetas inteligentes. Bajo las prácticas actuales de pago con crédito y débito, la mayoría del peso de la seguridad recae en la tarjeta, mientras que la terminal del comerciante sirve principalmente como un contenedor y conducto de la información de transacción, y no representa riesgo sustancial para el sistema. De conformidad, mientras que algunas terminales de comercio presentan hardware de alta seguridad, las consideraciones de los costos empujan a muchas otras terminales de comerciantes a que se basen en diseños más simples y menos caros, volviéndose menos seguras, lo que, como se indica anteriormente, es aceptable para el pago EVM o sus equivalentes .

La situación es diferente cuando se considera el pago por valor almacenado. Tradicionalmente, el pago por valor almacenado se ha considerado lo suficientemente seguro sólo si el almacenamiento y transferencia del valor almacenado se manejan por y entre chips seguros conocidos como tarjeta inteligente del tarjetahabiente y un módulo de aplicación segura (SAM por sus siglas en inglés) del comerciante que típicamente es un chip de tarjeta inteligente empacado de manera similar al SIM de telefonía móvil e insertado en una ranura para tal fin en la terminal del comerciante. Durante años, muchas terminales de comerciantes incluían una ranura SAM, como una provisión para la acomodación de aplicaciones de valor almacenado. Sin embargo, debido a que las aplicaciones de valor almacenado se anclaban entre los planes y expectativas, muchas terminales de comerciantes puestas en el mercado no tienen ranura SAM.

De conformidad, bajo el enfoque tradicional de incluir un SAM en las terminales de comerciantes para el almacenamiento y transacción de valor almacenado, la adición de la funcionalidad de valor almacenado a un sistema de crédito/débito EVM no sólo requiere la actualización de la tarjeta y el software/firmware de la terminal del comerciante, sino también el reemplazo o la actualización física de muchas terminales de comerciantes para que incluyan una ranura SAM, y que desplieguen y manejen los SAMs . Esto incrementa en gran medida el umbral para enfrentar la implementación del valor almacenado, y puede hasta hacer dicha implementación comercialmente inviable .

Por lo tanto, hay una necesidad para, y sería muy ventajoso, tener soluciones para un sistema de pago de valor almacenado lo suficientemente seguro que enfrente el uso de terminales de comerciantes que no cuenten para la seguridad de SAM.

BREVE DESCRIPCIÓN DE LA INVENCIÓN La presente innovación busca proporcionar sistemas y funcionalidades para enfrentar el uso de terminales de comerciantes no confiables dentro de un sistema de pago por valor almacenado seguro.

DEFINICIONES Por "tarjetahabiente" o "usuario", se entiende un consumidor que hace pagos a un comerciante.

Por "terminal de comerciante" o "terminal", se entiende un dispositivo de comerciante para aceptar pagos electrónicamente .

Por "tarjeta inteligente" o "tarjeta", se entiende un dispositivo portátil seguro, basado en un chip, que se usa para hacer el pago en una terminal de comerciante. La tarjeta puede tener cualquier factor de forma, tal como una tarjeta plástica tradicional, llave inteligente, calcomanía/etiqueta, tarjeta microSD, o teléfono móvil. La tarjeta se comunica con una terminal de comerciante a través del contacto de la interfaz sin contacto .

Por "usuario" se entiende una institución que suministra a los tarjetahabientes y recolecta dinero de los ta jetahabientes para pagos electrónicos hechos con su tarjeta .

Por "transacción de cargo" o "cargo", se entiende una transacción de pago con crédito, débito o prepagado que carga un importe remoto de la tarjeta.

Por "valor almacenado" se entiende una representación electrónica de dinero que se puede cargar y almacenar en tarjetas y transferir a terminales de comerciantes para pagos.

Por "cartera electrónica" se entiende un área segura en el chip de una tarjeta inteligente ideada para almacenar valor almacenado.

Por "módulo de aplicación segura" o "SAM (por sus siglas en inglés)", se entiende un componente seguro basado en un chip que está incluido en una terminal de comerciante para almacenar valor almacenado y para hacer transacciones de valor almacenado con terminales de comerciantes. Hablando de manera general, la presente innovación se enfoca en las terminales de comerciantes que almacenan y hacen transacciones con valor almacenado sin tener un SAM o sin el uso de un SAM aún cuando existe físicamente en la terminal, y dichas terminales serán referidas algunas veces como terminales "sin SAM".

Por "terminal de comerciante no confiable" o "terminal no confiable", se entiende una terminal de comerciante que inicialmente es segura pero no está protegida contra el copiado o cambio de su contenido digital mediante la alteración física. La designación de una terminal de comerciante como no confiable es específica del emisor del valor almacenado y es subjetiva, y no implica que la terminal sea, de hecho, fácil de acceder y compromete .

Por "Cargo y Cambio" o "CyC", se entiende una transacción de pago entre una terminal de comerciante y una tarjeta inteligente que involucra tanto una transacción de carga como una transferencia de valor almacenado de la terminal del comerciante a la tarjeta, como en las enseñanzas de las patentes estadounidenses Nos. 5,744,787 y 6,076,075, ambas incorporadas mediante referencia como si se establecieran en su totalidad. Por ejemplo, una transacción de Cargo y Cambio para el pago de $P, se hace cargando a la tarjeta un importe $X que es mayor a $P, y transfiriendo un importe de valor almacenado de $X-$P como cambio de la terminal a la tarjeta.

Por "monedas electrónicas" o "monedas" se entiende la representación electrónica de valor almacenado, cada moneda teniendo una denominación y un número de serie. Las monedas están ideadas para proporcionar un mecanismo de auditoria de nivel efectivo de sistema, como se demuestra, por ejemplo, en las patentes ' estadounidenses nos. 6,119,946 y 6,467,685, ambas incorporadas mediante referencia como si se establecieran en su totalidad en este documento.

Por datos "verificables digitalmente" o "verificables", se entiende los datos (tales como certificado o registro de transacción) cuya autenticidad se puede verificar mediante métodos criptográficos conocidos en la materia, tales como encriptación/descodificación, código de autenticación de mensaje y/o verificación de firma digital.

El término "importe neto" se relaciona generalmente con el valor monetario del valor almacenado transferido de una terminal de comerciante a una tarjeta de pago o de una tarjeta de pago a una terminal de comerciante. En el caso especifico del uso de monedas electrónicas para la representación y transferencia de valor almacenado (ver patentes estadounidenses nos. 6,119,946 y 6,467,685), las monedas electrónicas se pueden transferir entre una tarjeta de pago y una terminal de comerciante en ambas direcciones con una sola transacción de valor almacenado, y el importe neto es el saldo de dichas transferencias; por ejemplo, si una moneda de $5 se mueve de la tarjeta de pago a una terminal de comerciante, y si una moneda de 4F se mueve de la tarjeta de pago a la terminal de comerciante, y una moneda de 1 se mueve de la terminal del comerciante a la tarjeta de crédito, entonces el importe neto es de 3F que se mueve de la tarjeta de pago a la terminal del comerciante.

ANÁLISIS DE RIESGOS El siguiente análisis ilustra fuentes y escenarios de riesgos criminales que la presente innovación elimina o disminuye. El análisis no está necesariamente completo, y pueden existir otros riesgos en el presente contexto, algunos de los cuales también pueden ser sobrepasados o disminuidos por la presente innovación.

También, algunos riesgos se pueden reducir pero no eliminar por la presente innovación.

Alcance de riesgos cubiertos por la presente innovación La terminal del comerciante, como se suministró originalmente a un comerciante, se considera confiable por el emisor del valor almacenado, y su seguridad inicial se considera similar a la del SAM con respecto a los ataques de tarjetas o de computadoras remotas a través de las redes de comunicación. Por el bien de la presente discusión, los riesgos de seguridad con respecto a terminales que no son robadas o aprovechadas físicamente, se considerará solucionado satisfactoriamente .por las soluciones de seguridad previas, y no se comentarán en este documento.

También, se asume que la terminal del comerciante está certificada, y considerada lo suficientemente segura, para hacer transacciones de cargo (crédito y/o débito y/o pre-pagadas) , preferentemente, pero no necesariamente, bajo el estándar EMV, en los modos en línea y fuera de línea.

Los riesgos de interés son los riesgos añadidos que están implicados por la falta de la protección contra robos ofrecidas por un SAM. Un SAM evita el acceso físico a su contenido digital, el que incluye típicamente los datos de configuración y de transacción, el · código de programa y las claves criptográficas, las cuales se exponen en una terminal sin SAM a un criminal experto que obtiene acceso físico a la terminal del comerciante.

No está necesariamente implicado que no exista ningún SAM incluido en la terminal del comerciante, sino sólo que no hay conflabilidad en la resistencia inherente a los robos de un SAM, aún cuando esté presente un SAM o cualquier chip o circuito a prueba de robos dentro de una terminal del comerciante.

Suposiciones relacionadas con el sistema de pagos Se asume que existe un gran número de terminales de comerciante que sirven regularmente a los tarjetahabientes para pagos. Los comerciantes generalmente protegen sus terminales contra robo y alteración, y la gran mayoría de las terminales se suponen no comprometidas. Un tarjetahabiente se supone que use su tarjeta para hacer pagos en una pluralidad de terminales, de la cuales la mayoría de las terminales no están comprometidas.

Criminales, patrones criminales y- contramedidas Los patrones criminales pueden incluir: • Sacar provecho al presentar valor almacenado falso para un pago.

·· Sacar provecho al usar valor almacenado falso para hacer compras.

• Sacar provecho al vender valor almacenado falso a otros.

• Piratería del sistema para su satisfacción personal .

Las contramedidas típicamente ayudan a: • Proteger físicamente las terminales y su hardware contra la manipulación, y/o deshabilitar las terminales manipuladas.

• Disuadir a los criminales al identificar efectivamente las terminales comprometidas y las tarjetas mal usadas.

• Minimizar las ganancias potenciales, rindiendo así un ataque no atractivo financieramente.

• Contener y medir el daño potencial.

• Recuperarse rápidamente de los incidentes criminales .

Contramedidas intrínsecas ofrecidas por los sistemas convencionales y por las mejoras previas Las terminales de comerciantes están usualmente físicamente protegidas contra robo y manipulación. Esto deja a la gran mayoría de las terminales no comprometidas.

Las provisiones de hardware adicional que desactivan las terminales de comerciantes robadas o manipuladas y borran sus memorias, pueden reducir aún más el riesgo y motivación bajo discusión. La adición de un chip de identificación única a una terminal de comerciante y la vinculación del software de la terminal del comerciante a dicho chip, puede evitar efectivamente la clonación de la terminal de comerciante robada o manipulada.

El uso de un mecanismo de Cargo y Cambio (patentes estadounidenses nos. 5,744,787 y 6,076,075) para la carga de valor almacenado, limita el importe que se puede gastar por valor almacenado a un valor pequeño (digamos, $25-50), lo que ha disminuido en gran medida la motivación criminal relacionada con el uso o venta de valor almacenado falso para hacer compras.

El uso de monedas para auditar el valor almacenado (patentes estadounidenses nos. 6,119,946 y 6,467,685) marcará rápida y efectivamente las tarjetas de pago y las terminales que suministran valor almacenado falso, reduciendo así rápidamente la factibilidad y motivación para sacar ganancias del pago, uso o venta de valor almacenado falso.

La presente invención busca, además, mayores mejoras por encima de las anteriores contramedidas, que se enfocan en los riesgos adicionales que son específicos para las terminales de los comerciantes que no tienen SAM o que tienen SAM pero no tienen seguridad SAM.

SINOPSIS La presente innovación reduce la motivación para los ataque criminales en un sistema de pagos por valor almacenado sin SAM, y minimiza la exposición del emisor del valor almacenado, por encima y más allá de las contramedidas intrínsecas anteriormente revisadas.

En su sentido más amplio, las modalidades preferidas de la presente invención imponen nuevos roles de seguridad para el pago con tarjeta, para la supervisión de los particulares de una transacción para asegurar que la transacción no. sea abusada por la terminal y/o para verificar la validez de una terminal del comerciante. Por el bien de la presente innovación, la tarjeta de pago se supone que sea una tarjeta inteligente a prueba de alteraciones que no está comprometida y confiable por parte del emisor de valores almacenados.

De acuerdo con un primer aspecto, la tarjeta confirma los particulares de cada transacción de pago, y evita la infusión ilegitima de valor almacenado en la tarjeta, asegurándose que un importe neto de valor almacenado sea agregado a la tarjeta sólo después de una complementación exitosa de una transacción de cargo mayor al importe neto.

De acuerdo con un segundo aspecto, si el valor almacenado está compuesto de monedas digitales con números de serie de diversas denominaciones, la tarjeta confirma que el valor total de las monedas que fluyen a la tarjeta sea más pequeño que el valor total de las monedas fluyendo desde la tarjeta a la terminal (si no está involucrada ninguna transacción de cargo en la transacción de pago con valor almacenado) o la suma del valor total de las monedas que fluyen desde la tarjeta hacia la terminal y el importe a cargar (si una transacción de cargo está incluida en la transacción de pago por valor almacenado9.

Se notará que el término "la tarjeta confirma" en el primero y segundo aspectos anteriores, quiere decir que ya sea que la tarjeta calcule y ejecute todas las operaciones relacionadas con valor almacenado en la tarjeta con base en una solicitud de pago de la terminal del comerciante, o que todos o algunos de los cálculos y operaciones relacionados con el valor almacenado sean iniciados por la terminal, y la tarjeta monitoree dichas operaciones y revise su valor y negará o abortará un intento de transferencia de valor almacenado que viole las condiciones de cualquiera o ambos de los dos aspectos mencionados anteriormente. Cuando una transacción de pago involucra una operación de cargo, se asume que la tarjeta está alerta del importe de cargo a través del protocolo de pago por cargo en los escenarios en linea y fuera de linea.

De acuerdo con un tercer aspecto, un certificado de terminal es emitido por el emisor de valor almacenado, o por un proveedor de servicios confiable, para cada terminal de comerciante después de un pago exitoso. El certificado incluye al menos la ID de la terminal y una hora de expiración que es igual a la siguiente hora de expiración esperada más un margen de seguridad. Por ejemplo, si el pago subsecuente se espera en 24 horas, el certificado puede incluir una hora de expiración de 48 horas a partir de la hora de pago actual. El certificado es verificable digitalmente, e . , firmado digitalmente y/o encriptado por el emisor del certificado de la terminal, en una manera tal que es legible y verificable por cualquier tarjeta válida, y es difícil de falsificar por una parte no autorizada. La tarjeta revisa la hora de expiración del certificado y la compara con la hora de la tarjeta y aborta la transacción si la hora de la tarjeta es posterior a la hora de expiración .

De acuerdo con un cuarto aspecto, la tarjeta recibe de la terminal una hora de terminal, y aborta una transacción si la hora de la terminal es menor a la hora de la tarjeta o mayor a la hora de expiración del certificado de la terminal. Si la tarjeta no tienen algún reloj de tiempo real integrado, como el caso de las tarjetas inteligentes de plástico, la hora de la tarjeta se almacena en y se lee de un registro no volátil dentro del chip de la tarjeta inteligente y está adelantado a la compra de acuerdo con la hora de la terminal, siempre que el certificado de la terminal haya sido validado, y la hora de la terminal es mayor a la hora de la tarjeta y no mayor a la hora de expiración de la terminal.

De acuerdo con un quinto aspecto, hacia la conclusión de un pago por valor almacenado exitoso en una terminal del comerciante, la tarjeta calcula el valor de la transacción de acuerdo con el flujo actual de valor almacenado y cargo conocido para la tarjeta, y emite un registro de pago para dicho valor de transacción, digitalmente firmado y/o encriptado por la tarjeta. El registro de pago es enviado a y guardado por la terminal del comerciante, y es recolectado por la terminal del comerciante con otros registros de pago recibidos por la terminal, como una base para el pago al final del ciclo laboral .

Se notará que el registro de pago emitido y firmado por la tarjeta puede ser de cualquier forma que sea legible y verificable por el emisor del valor almacenado. Por ejemplo, puede ser un archivo, o una elemento de linea dentro del registro de transacciones de la terminal, en cuyo caso, la firma digital o código de autenticación del mensaje provisto por la tarjeta, forma parte de la linea.

Por lo tanto, se proporciona, de acuerdo con modalidades preferidas de la presente innovación, un método ejecutado por una tarjeta mientras hace una transacción de pago de valor almacenado en una terminal de comerciante, el método incluyendo: (a) la interfaz con la terminal del comerciante; y (b) la aceptación de un primer importe positivo de valor almacenado en la tarjeta, sólo después de la confirmación de que un segundo importe correspondiente, no menor que el primer importe, es pagado por la tarjeta en la terminal del comerciante. El segundo importe se puede pagar por cargo.

Si el valor almacenado está representado por monedas, y cada moneda tiene una denominación y un número de serie, entonces, si no está involucrada ninguna transacción de cargo, entonces la transacción de pago puede consistir de un primer grupo de cero o más monedas designadas para fluir desde la terminal del comerciante a la tarjeta, y un segundo grupo de una o más monedas designado a fluir desde la tarjeta a la terminal del comerciante, en cuyo caso el primer importe es igual al valor total del primer grupo y el segundo importe es igual al valor total del segundo grupo. Si también se incluye una transacción por cargo, entonces el primer importe es igual al valor total del primer grupo; y el segundo importe es igual a la suma del valor total del segundo grupo, y el valor de la transacción por cargo.

El método también puede incluir la provisión a la terminal del comerciante de un registro de pago verificable para un importe de pago que se calcula por la tarjeta al restar el primer importe del segundo importe.

El método puede incluir, además, la verificación de la validez de un certificado de terminal recibido de la terminal del comerciante, y la absorción de la transacción de pago por valor almacenado si la verificación es negativa; y, si la verificación es positiva: (a) leer una hora de la tarjeta de un registro de horas de la tarjeta; (b) recibir una hora de terminal de la terminal del comerciante, (c) recuperar una hora de expiración de la terminal del certificado de la terminal, revisar si la hora de la terminal no es menor a la hora de la tarjeta ni mayor a la hora de expiración de la terminal, y abortar la transacción de pago si la revisión es negativa. Sin embargo, si la revisión es positiva, entonces el método incluye, además, configurar la hora de la tarjeta en el registro de horas de acuerdo con la hora de la terminal.

Las modalidades preferidas de la presente innovación también incluyen una tarjeta de pago que incluye: (a) un microprocesador; (b) una interfaz de terminal para hacer interfaz de manera seleccionable con una terminal de comerciante seleccionable para hacer una transacción de pago; (c) un módulo de cargo que coopera con el microprocesador para el cargo de una cuenta remota; y una cartera de valor almacenado para almacenar el valor almacenado, cooperando con el microprocesador para mover importes seleccionables de valor almacenado entre la tarjeta de pago y una terminal de comerciante vía la interfaz de terminal, en donde la tarjeta de pago es operativa, mientras hace interfaz con una terminal de comerciante seleccionada, para aceptar un primer importe positivo de valor almacenado sólo a la confirmación que un segundo importe correspondiente, que no es menor al primer importe, es pagado por la tarjeta de pago en la terminal de comerciante seleccionada. En una transacción de pago que incluye ambas transacciones, por cargo y por valor almacenado, el primer importe es un importe neto de valor almacenado recibido por la cartera de valor almacenado, y el segundo importe es pagado por el módulo de cargo. Si la tarjeta de pago está operando dentro de un sistema basado en monedas de valor almacenado en una transacción de pago que no incluye una transacción por cargo, la transacción de pago entonces consiste de: un primer grupo de cero o más monedas " designadas para fluir desde la terminal del comerciante a la cartera, y un segundo grupo de una o más monedas designadas para fluir de la cartera a la terminal del comerciante; y después el primer importe es igual al valor total del primer grupo y el segundo importe es igual al valor total del segundo grupo. En una transacción de pago que incluye transacciones por cargo y por valor almacenado, el primer importe es el valor total de monedas recibidas por la cartera de valor almacenado de la terminal de comerciante seleccionada, y el segundo importe es igual a la suma de: una importe de cargo pagado por el módulo de cargo en la terminal del comerciante seleccionada, y el valor total de las monedas transferidas de 'la cartera del valor almacenado a la terminal de comerciante seleccionada. La tarjeta puede ser aún más operativa para calcular un importe de pago al restar el primer importe del segundo importe, y proporcionar a la terminal de comerciante seleccionada un registro de pago verificable para el importe de pago.

La tarjeta puede incluir un registro de hora de la tarjeta y ser operativa para: verificar la validez de un certificado de terminal recibido de la terminal de comerciante seleccionada; abortar una transacción si la verificación es negativa; y, si el certificado de la terminal es válido, entonces la terminal lee una hora de la tarjeta del registro de hora de la tarjeta, recibe una hora de terminal de la terminal de comerciante seleccionada, recupera una hora de expiración de la terminal del certificado, revisa si la hora de la terminal no es ni menor a la hora de la tarjeta ni mayor a la hora de expiración de la terminal, y aborta la transacción y la revisión es negativa. Si la revisión es positiva, la tarjeta es operativa para configurar la hora de la tarjeta en el registro de la hora de la tarjeta de acuerdo con la hora de la terminal.

Las modalidades preferidas de la presente innovación, también incluyen una terminal de comerciante que incluye: (a) una interfaz de tarjeta para la comunicación con las tarjetas de pago; (b) una interfaz de red para la interfaz, vía una red, con un servidor de procesamiento de pagos; (c) un registro de certificado de terminal para almacenar un certificado de terminal que incluye una ID de terminal y una hora de expiración de terminal; y (d) un procesador configurado para: (i) durante el pago al servidor de procesamiento de valor almacenado, renovar el certificado de terminal almacenado en el registro de certificado de la terminal, y (ii) durante la interfaz con una tarjeta, presentar el certificado de la terminal a la tarjeta.

Las modalidades preferidas de la presente innovación también incluyen un método para la operación de un servidor de procesamiento de valor almacenado, incluyendo: la interfaz con una terminal de comerciante; la recepción de una identificación de terminal de la terminal del comerciante; y si no se identifica irregularidad alguna con respecto a la identificación de la terminal, emitir un certificado reciente de terminal para la terminal del comerciante, el certificado de la terminal incluyendo al menos la identificación de la terminal y una hora de expiración de la terminal, y proporcionar al certificado reciente de terminal a la terminal del comerciante. Si y sólo si no se identifican irregularidades, entonces el método también incluye la ejecución del pago por valor almacenado con la terminal del comerciante.

BREVE DESCRIPCIÓN DE LOS DIBUJOS La presente innovación se entenderá y apreciará en su totalidad a partir de la siguiente descripción detallada, tomada en conjunto con los dibujos, en los que: La Figura 1 es un diagrama de bloque simplificado que describe un sistema de pagos de acuerdo con una modalidad preferida de la presente innovación.

La Figura 2 es un diagrama de bloque simplificado que describe un certificado de terminal.

La Figura 3 es un diagrama de bloque simplificado que ilustra permutaciones de la hora de la tarjeta, la hora de la terminal y la hora de expiración de la terminal .

La Figura 4 es un diagrama de flujo simplificado que describe la operación de la tarjeta a la interfaz con una terminal de comerciante.

La Figura 5 es un diagrama de flujo simplificado que describe una transacción de pago de acuerdo con una modalidad preferida de la presente innovación.

La Figura 5A es un diagrama de flujo simplificado que describe una transacción de pago de acuerdo con una modalidad preferida de la presente innovación.

La Figura 5B es un diagrama de flujo simplificado que describe una transacción de pago y/o carga seleccionable en una terminal de comerciante de acuerdo con una modalidad preferida de la presente innovación.

La Figura 5C es un diagrama de flujo simplificado que describe una transacción de pago seleccionable en una terminal de comerciante o una transacción de carga segura en una terminal de carga de acuerdo con una modalidad preferida de la presente innovación.

La Figura 6 es un diagrama de bloque simplificado que ilustra un contenido ejemplar de un registro de pago con valor almacenado.

La Figura 7 es un diagrama de flujo simplificado que describe un procedimiento de liquidación de acuerdo con una modalidad preferida de la presente innovación.

DESCRIPCIÓN DETALLADA DE LAS MODALIDADES PREFERIDAS DE LA INVENCIÓN EL SISTEMA DE PAGO Se hace referencia a la Figura 1 que describe un sistema de pago (100) de acuerdo con una modalidad preferida de la presente innovación. El sistema incluye una tarjeta de pago (110) que es una de una pluralidad de tarjetas de pago, terminal del comerciante (140) que es una de una pluralidad de terminales de comerciantes, servidor de procesamiento de cargos (180) que maneja el procesamiento de crédito y/o débito, y el servidor de procesamiento de valor almacenado (190) que maneja y supervisa todos los aspectos relacionados con la generación, liquidación, auditoria y seguridad del valor almacenado .

La tarjeta de pago (110) es una tarjeta inteligente que incluye un chip seguro para el almacenamiento y procesamiento de datos, y puede ser empacado en cualquier factor de forma portátil, tal como una tarjeta de plástico, una llave inteligente, o un teléfono móvil. Preferentemente, pero no necesariamente, la tarjeta de pago (110) es una tarjeta de aplicación múltiple certificada bajo el estándar E V. El microprocesador de la tarjeta (126) maneja las funcionalidades de comunicación y procesamiento de la tarjeta de pago (110) , incluyendo todo o parte del registro de la hora de la tarjeta (114), el módulo de cargo (118) y la cartera de valor almacenado (122) descritos más adelante, con el remanente ejecutándose opcionalmente en componentes de hardware dedicados opcionales descritos más adelante.

El módulo de carga (118) incluye los datos de la cuenta y del tarj etahabiente, claves criptográficas y parámetros de transacción para activar la tarjeta de pago (110) para que lleve a cabo transacciones de crédito y/o débito en cooperación con la terminal del comerciante (140) y el servidor de procesamiento de cargos (180), como se conoce en la materia del pago con crédito y débito. Preferentemente, pero no necesariamente, el sistema de pago (100) permite que la tarjeta de pago (110) realice los cargos en linea y fuera de linea en la terminal del comerciante (140), bajo las disposiciones y reglamentos conocidos en la materia.

El registro de la hora de la tarjeta (114) proporciona el microprocesador de la tarjeta (126) con la última hora conocida por la tarjeta de pago (110) . En algunas modalidades preferidas, tal como cuando la tarjeta de pago (110) está integrada en un teléfono móvil, el registro de la hora de la tarjeta (114) puede ser un reloj en tiempo real. Por otra parte, en el caso del factor de forma de una tarjeta de plástico común, la tarjeta no tiene provisión de corriente por si misma, lo que hace un reloj en tiempo real no factible. En dichos casos, el registro de la hora de la tarjeta (114) es un dispositivo de almacenamiento de memoria no volátil, y se ajusta a la transacción de' pago válida de acuerdo con la hora actual de la terminal de un comerciante, como se elaborará con referencia a la Figura 4 más adelante.

La cartera de valor almacenado (122) incluye preferentemente un dispositivo de almacenamiento seguro para el almacenado del valor almacenado, claves criptográficas para la validación de datos de transacción de valor almacenado y el certificado de terminal descrito más adelante, la información del registro de la transacción, el software para las operaciones del microprocesador de la tarjeta (126) relacionadas con el valor almacenado, y posiblemente un controlador autónomo para ejecutar los cálculos específicos de valor almacenado o criptográficos. En algunas modalidades, el registro de la hora de la tarjeta (114) se puede implementar como parte de la cartera de valor almacenado (122) .

La interfaz de la terminal (130) permite que el microprocesador de la tarjeta (126) se comunique con la terminal del comerciante (140) durante las transacciones de pago. Si la tarjeta de pago (110) no tiene suministro de corriente por si sola, la interfaz de la terminal (130) también obtiene energía eléctrica de la terminal del comerciante (140) para activar la tarjeta de pago (110) durante una transacción. La interfaz de la terminal (130) puede ser, por ejemplo, una interfaz de contacto de tarjeta inteligente estándar (ej., según ISO 7816), una interfaz electromagnética sin contacto que usa señales electromagnéticas para el intercambio de datos, y posiblemente también para cargar corriente de la tarjeta de pago (110) mediante inducción electromagnética (ej., según ISO 14443), o una interfaz infrarroja o de Bluetooth, si la tarjeta de pago (110) se auto-carga.

La terminal del comerciante (140) hace interfaz con la tarjeta de pago (110) para las transacciones de pago. El pago puede ser por la compra de bienes o servicios; sin embargo, en el contexto de la presente divulgación, también una transacción de pura carga, que termina con la carga de un importe de valor almacenado en una cartera de valor almacenado (122) y con la carga de dicho importe (posiblemente mientras se añade la cuota aplicable) a través del módulo de carga (118), se considerará una transacción de pago. La interfaz de la tarjeta (144) hace interfaz mediante un vinculo (134) con la interfaz de la terminal (130) de la tarjeta de pago (110), usando una tecnología de compatibilidad, tal como una interfaz de contacto de tarjeta inteligente estándar, una interfaz electromagnética sin contacto, o una interfaz de infrarrojo o Bluetooth. Si la tarjeta de pago (110) no se auto-carga, la interfaz de la tarjeta (144) también se usa para cargar la tarjeta de pago (110) durante las transacciones .

La unidad de compra (142) determina el importe de pago a ser pagado por la tarjeta. Ejemplos de la unidad de compra (142) .incluyen una caja registradora conectada a un escáner; un dispositivo de expendio automático tal como una máquina expendedora, un parquímetro, o un teléfono de paga; o un teclado para la recepción de un importe por parte de un operador humano. La unidad de compra (142) puede ser una unidad integral de terminal del comerciante (140) , o puede estar externa a la estructura física de otros bloques de la terminal del comerciante (140) y comunicarse con el microprocesador de la terminal (148) vía un vínculo de comunicación .

El microprocesador > de la terminal (148) se conecta con las otras unidades de la terminal de comerciante (140) para ejecutar el cómputo .y la comunicación de tareas de la terminal del comerciante (140) . El controlador de cargos (156) es preferentemente una memoria no volátil que incluye software y credenciales de la terminal del comerciante (140) para la ejecución, por el microprocesador de la terminal (148) de transacciones de crédito y/o débito con el módulo de carga (118) de la tarjeta de pago (110) por un lado, y con el servidor de procesamiento de cargos (180) por otro lado.

El controlador de valor almacenado (152) preferentemente es una memoria no volátil que incluye software y credenciales de la terminal del comerciante (140) para la ejecución, por el procesador de la terminal (148) de transacciones de valor almacenado con cartera de valor almacenado (122) de la tarjeta de pago (100) y para la liquidación de valor almacenado con módulo del procesador valor almacenado (194) del servidor de procesamiento de valor almacenado (190) . Las transacciones de valor almacenado se pueden llevar a cabo de acuerdo con una variedad de esquemas de valor almacenado, como se comentará más adelante. El reloj en tiempo real (160) proporciona al microprocesador de la terminal (148) con los datos de la hora y fecha actuales, como una entrada para el reporte de aplicaciones operacionales . El registro de certificado terminal (168) (ver también Figura -2) almacena un certificado de terminal que se recibe del módulo emisor de certificado de la terminal (192) de un servidor de procesamiento de valor almacenado (190) a la liquidación exitosa, y se revisa por la tarjeta de pago (110) como se describirá más adelante con referencia a la Figura 4. La interfaz de la red (164) permite que la terminal del comerciante (140) se comunique con el servidor de procesamiento de cargo (180) y el servidor del procesamiento de valor almacenado (190) a través de la red (170) .

El servidor de procesamiento de cargo (180) es un servidor de una institución financiera o un procesador de transacciones dedicado, que se conecta con la terminal del comerciante (140) con los respectivos - adquirientes y emisores, para la autorización personal de transacciones de crédito y/o débito y de liquidación.

El servidor de procesamiento de valor almacenado (190) hace interfaz con la terminal del comerciante (140) para liquidación y servicios relacionados con el valor almacenado, en su mayoría ejecutados por el módulo del procesador del valor almacenado (194) que incluye el hardware de almacenamiento y procesamiento de datos, asi como programas y credenciales, para controlar de manera segura las transferencias de valor almacenado con la terminal del comerciante (140) y para que cuente dichas transferencias, de acuerdo con los particulares del sistema de pago de valor almacenado usado. En una modalidad preferida de la presente innovación de un sistema de pagos mejorado que usa Cargo y Cambio (Patentes estadounidenses nos. 5,744,787 y 6,076,075), la auditoria basada en monedas (patentes estadounidenses nos. 6,119,946 y 6,467,685) y la liquidación de marca (patente estadounidense no. 6,056,675), el módulo del procesador del valor almacenado (194) también maneja la preparación de la terminal del comerciante . (140) con valores almacenados durante la liquidación exitosa, revisión y actualización de monedas, y agregación de liquidación de acuerdo con las marcas de las tarj etas .

El módulo emisor de certificado de terminal (192) emite, a la liquidación exitosa con la terminal del comerciante (140) , un certificado nuevo para ser almacenado en el registro de certificados de la terminal (168) . El certificado incluye la ID de la terminal y una hora de expiración que es igual a la siguiente hora de liquidación esperada más un margen de seguridad predefinido. Por ejemplo, si la siguiente liquidación se espera en 24 horas, el certificado puede incluir una hora de expiración de 48 horas a partir de la hora de liquidación actual. El certificado es verificable digitalmente por cualquier tarjeta válida, y está criptográficamente protegido por técnicas conocidas en la materia de seguridad digital, por lo que es impráctico, o al menos excesivamente caro, de falsificar por una parte no autorizada. Se asume, sin embargo, que el certificado de una terminal de comerciante comprometida (140) es legible y se puede copiar a clones de dicha terminal, pero sin extender la hora de expiración del certificado .

La red (170) es ya sea una red financiera dedicada o una red pública, tal como Internet o una red móvil. La red (170) sirve para conectar de manera seleccionable la terminal del comerciante (140) con el servidor de procesamiento de cargo (180) y el servidor de procesamiento de valor almacenado (190) .

El vinculo (134) se establece temporalmente entre la tarjeta de pago (110) y la terminal del comerciante (140) cuando un comerciante presenta la tarjeta de pago (110) en la terminal del comerciante (140) para su pago, y permite la comunicación de datos entre el microprocesador de la tarjeta (126) y el microprocesador de la terminal (148). En algunos casos, el vinculo (134) también suministra energía eléctrica de la terminal del comerciante (140) a la tarjeta de pago (110) . La tecnología del vínculo (134) es igual a la tecnología de la interfaz de la terminal (130) y la interfaz de la tarjeta (144) arriba presentadas .

El vínculo (174) se conecta seleccionablemente con la terminal del comerciante (140) con el servidor de procesamiento de cargo (180) para la autorización y liquidación de los pagos de crédito y/o débito, y con un servidor de procesamiento de valor almacenado (190) para las transacciones relacionadas con el valor almacenado a través de una red (170) . Preferentemente, pero no necesariamente, la terminal del comerciante (140) también puede operar en modo fuera de línea, y después el vínculo (174) puede ser desconectado o inactivado. El vínculo (174) puede usar cualquier tecnología de comunicación que sea compatible con la de la interfaz de la red (164) y la red (170).

EL CERTIFICADO DE LA TERMINAL La Figura 2 describe dos modalidades preferidas, el certificado firmado de la terminal (202) y el certificado encriptado de la terminal (204) del certificado de la terminal (200) que se genera por el módulo emisor del certificado de terminal (192) almacenado en el registro del certificado de la terminal (168) y revisado por el microprocesador de la tarjeta (126) . El certificado firmado de la terminal (202) es un tren de texto plano que incluye tres campos: (1) la ID de la terminal (200T) que identifica de manera única la terminal del comerciante (140) para el servidor de procesamiento de valor almacenado (190) a la liquidación, y posiblemente también al pago de la tarjeta (110), al pago, para fines de registro de transacción; (2) hora de expiración de la terminal (200E) que se determina por el servidor de procesamiento de valor almacenado (190) de acuerdo con la siguiente hora de liquidación esperada más, preferentemente, un margen de seguridad para el caso en el que la liquidación sea razonablemente retrasada, y (3) una firma digital (200D) que firma la ID de la terminal (200T) y la hora de expiración de la terminal (200E) y es verificable por el microprocesador de la tarjeta (126) . Por lo tanto, el contenido del certificado digital firmado (200) está claro y puede ser leído por cualquiera, pero la firma digital (200D) evita la generación no autorizada de certificados falsos.

El certificado encriptado de la terminal (204) incluye los datos de la ID de la terminal (200t) y la hora de expiración de la terminal (200E) como en el certificado firmado de la terminal (202), en forma encriptada. El certificado es preferentemente generado por el módulo emisor de certificado de la terminal (192) y proporcionado a una terminal de comerciante (140) a la liquidación, y almacenado en el registro de certificado de la terminal (168) en su forma encriptada. Cuando se presenta a cualquier tarjeta de pago (110) al pago, la tarjeta recibe y desencripta el certificado digital encriptado (204) usando las claves criptográficas adecuadas que se comparten entre las tarjetas y el módulo emisor de certificado de la terminal (192) (preferentemente usando claves asimétricas, en donde la clave privada se guarda en el módulo emisor de certificado de terminal (192) , mientras que la clave pública se incluye en la cartera de valor almacenado (122)). Por lo tanto, el contenido del certificado encriptado de la terminal (204) es almacenado en el registro de certificado de la terminal (168) de la terminal del comerciante (140) , pero su encriptación lo hace ilegible a cualquiera que use piratería en la terminal del comerciante (140) , y por lo tanto, es impráctica la generación de un certificado falso.

Los fines del certificado de la terminal (200) son los de limitar la operación dañina que puede ser provocada por una terminal robada en típicamente un par de días, después de los cuales, el certificado expirará, lo que volverá inoperable a la terminal debido a que las tarjetas abortarán las transacciones con la terminal expirada (ver Figura 4) . Una terminal robada es probable que sea identificada y reportada al servidor de procesamiento de valor almacenado (190) , y después, el módulo emisor de certificados de terminal (192) no extenderá más certificados. Por lo tanto, aún si una terminal robada es clonada junto con su certificado, cualquier actividad por parte de los clones cesará en la hora de expiración del certificado.

Si una terminal es alterada y se usa piratería sin ser robada, dicha terminal comprometida no será identificada y reportada inicialmente, y su certificado se renovará normalmente, lo que permitirá una mayor explotación de dicha terminal. Sin embargo,- un mecanismo de auditoría efectivo, tal como la auditoría basada en monedas de las patentes estadounidenses Nos. 6,119,946 y 6,467,685, marcará efectivamente la terminal alterada al momento de la liquidación, y no sólo se suspenderá la renovación de su certificado, sino que la terminal será confiscada y el criminal que ha alterado la terminal puede ser identificado .

Unidades de tiempo y exactitud del reloj La presente discusión involucra tres valores de tiempo: la hora de la tarjeta del registro de horas de la tarjeta (114), la hora de la terminal recuperada del reloj en tiempo real de la terminal (160), y la hora de expiración obtenida de la verificación del certificado de la terminal (200) . Los tres valores de tiempo siempre incluyen la fecha, y pueden ser expresados con diferentes unidades de tiempo. Por ejemplo, la hora de la terminal puede ser expresada con resolución de dos horas, la hora de tarjeta puede ser expresada con resolución de una hora, y la hora de expiración de la terminal puede ser expresada con resolución de un día (ej., la hora de expiración es realmente la fecha de expiración) . La comparación de las horas bajo dichas circunstancias es común en la materia. También, se cree que las zonas horarias y los horarios de verano son tomados en cuenta como se considere necesario, y no se comentarán en este documento.

La exactitud del reloj también puede afectar las comparaciones de tiempo. Esto puede tomarse en cuenta al introducir un "periodo de gracia" a los criterios de comparación de tiempo, digamos, de un minuto. Dichos márgenes predefinidos se pueden incluir en cualquier decisión basada en comparación de tiempo, y no se discutirá a mayor detalle en este documento.

La Figura 3 ilustra seis escenarios (A-F) que puede enfrentar una tarjeta cuando hace interfaz con una terminal de comerciante durante el pago, con base en la comparación de la hora de la tarjeta con el registro de la hora de la tarjeta (114) , la hora de la terminal recuperada del reloj en tiempo real de la terminal (160), y la hora de expiración obtenida al verificar el certificado de la terminal (200) . El escenario (A) es adecuado para operación normal, debido a que la hora de la tarjeta se espera sea sustancialmente igual a la hora de la terminal si el registro de la hora de la tarjeta (114) es un reloj en tiempo real, y que sea anterior a la hora de la terminal si el registro de la hora de la tarjeta (114) es un registro de almacenamiento no volátil actualizado en una transacción de compra previa; también la hora de la terminal se espera. no sea posterior a la hora de expiración. Cada uno de los escenarios (B)-(F) presenta una anomalía y preferentemente provocarían la absorción de la transacción por parte de la tarjeta, debido a que en los escenarios (B) , (D) , (E) y (F) , el certificado de la terminal ha expirado con respecto a la hora de la tarjeta y/o de la terminal, y en (C) , (D) y (F) , la hora de la terminal es previa a la hora de la tarjeta, lo que no se espera bajo condiciones legítimas normales .

REVISIÓN DE LA VALIDEZ DEL CERTIFICADO DE LA TERMINAL Y ACTUALIZACIÓN DE LA HORA DE LA TARJETA La Figura 4 describe un procedimiento, ejecutado por una tarjeta de pago (110) al momento del pago, para revisar la validez de una terminal de comerciante. En el paso (201), un tarj etahabiente presenta una tarjeta de pago (110) en la terminal del comerciante (140) para hacer una transacción de pago; la tarjeta y la terminal se comunican mediante una interfaz de terminal. (130), vinculo (134) e interfaz de tarjeta (144), y la tarjeta recibe el certificado de terminal (200) que es · recuperado de la terminal del registro de certificado de la terminal (168) . También, la tarjeta recibe de la terminal, la hora de la terminal que la terminal recupera del reloj en tiempo real (160) y una solicitud de importe de pago determinado por la unidad de compra (142) .

En el paso (205) la tarjeta revisa la validez del certificado de la terminal (200) ; por ejemplo, si el certificado firmado de la terminal (202) se usa, la firma digital (200D) es revisada para verificar la autenticidad de la ID de la terminal (200T) y la' hora de expiración de la terminal (200E) ; si el certificado encriptado de terminal (204) se usa, es desencriptado por la tarjeta de pago (110) para recuperar la ID de la terminal (200T) y la hora de expiración de la terminal (200E) . Si se encuentra inválido el certificado, entonces la transacción es abortada en el paso (229) , y la tarjeta ya no cooperará con la terminal.

Si se encuentra válido el certificado en el paso (205), entonces el paso (213) verifica que la hora de la terminal no sea previa a la hora de la tarjeta y no sea posterior a la hora de expiración de la terminal (escenario (?) de la Figura 3) . Si la verificación es negativa, entonces se aborta la transacción en el paso (229); de otra manera, la hora de la tarjeta es configurada opcionalmente de acuerdo con la hora de la terminal en el paso (221) . El paso (221) puede saltarse si la tarjeta incluye un reloj en tiempo real (por ejemplo, si la tarjeta es parte de un teléfono móvil) , o si la hora de la tarjeta ya es igual a la hora de la terminal, lo que puede suceder, por ejemplo, si la hora de la tarjeta realmente es una fecha de tarjeta, y que la fecha ya haya sido adecuadamente establecida en una transacción de compra exitosa previa en el mismo dia. En el paso (225) , la transacción es ejecutada, como se describirá más adelante en referencia a la Figura 5.

Se apreciará que el proceso de la Figura 4 desactiva una terminal robada o alterada a la expiración del certificado de la terminal. Algunas tarjetas, cuyo registro de hora de tarjeta (114) no ha sido actualizado recientemente, aún pueden cooperar con una terminal que ha sido sometida a piratería cuyo reloj de tiempo real ha sido configurado para que sea previo a la fecha de expiración del certificado, pero, bajo la suposición de que las tarjetas son usadas regularmente para hacer compras en una pluralidad de terminales, y otra suposición de que la gran mayoría de las terminales no están comprometidas y por lo tanto mantienen de manera adecuada la hora de la tarjeta, las terminales víctimas de piratería, y los clones de terminales víctimas de piratería, eventualmente serán inoperables cuando expire su certificado y no sea renovado por el módulo emisor de certificado de terminal (192) del servidor de procesamiento de valor almacenado (190) .

También se apreciará que una terminal víctima de piratería, que aún es válida, no puede dañar una tarjeta configurando su hora, en el paso (221), en un futuro lejano (lo que podría hacer que la tarjeta interpretara las terminales legítimas como terminales expiradas en el paso (213)), debido a que las condiciones en el paso (213) permiten la configuración de la hora de la tarjeta (paso 221) no después de la hora de expiración verificada, lo que sucede típicamente en un día o dos .

UNA TRANSACCIÓN DE PAGOS La Figura 5 ilustra una transacción de pagos, hecha por una tarjeta de pago (110) en una terminal de comerciante (140) (Figura 1) . Algunas de las operaciones y decisiones abajo descritas, son ejecutadas por la terminal del comerciante, otras pueden ser ejecutadas por la terminal del comerciante o la tarjeta de pago, y aún otras deben ser ejecutadas por la tarjeta de pago por razones de seguridad; se notará que la tarjeta de pago se considera segura y confiable, mientras que la terminal de comerciante se considera no confiable en el presente contexto. La transacción de pago descrita más adelante sigue la lógica de Cargo y Cambio (patentes estadounidenses nos. 5,744,787 y 6, 076, 075) .

En el paso (241) , una tarjeta de pago (110) con un monto de $V en su cartera de valor almacenado (122), hace interfaz con una terminal de comerciante (140) para hacer un pago de $P>0. Preferentemente, pero no necesariamente, el paso (241) se lleva a cabo siguiendo la ejecución del procedimiento de la Figura 4, en donde la tarjeta asegura que la terminal del comerciante (140) tiene un certificado vigente. Para fines de brevedad, los métodos habituales de la autenticación mutua de tarjeta-terminal no se describen aquí ni en las siguientes figuras.

De acuerdo con Cargo y Cambio (patentes estadounidenses nos. 5,744,787 y 6,076,075), existe un parámetro ($CARGOMIN) que define un umbral adecuado para llevar a cabo transacciones de cargo convencionales (crédito o débito) . En el paso (245) , el monto a pagar $P es comparado por la terminal con $CARGOMIN, y si es igual o mayor al $CARGOMIN, entonces en el paso (253), la transacción es referida al controlador de cargos (156) de la terminal del comerciante (140) para cargar convencionalmente $P a la tarjeta de pago (110) de acuerdo con el módulo de cargo (118) . Se notará que en algunas terminales, sin embargo, los pasos (245) y (253) son redundantes y no se usan, debido a que todos los montos de pago $P en dicha terminal se sabe que están por debajo de $CARGOMIN, como puede ser el caso en el que la terminal del comerciante (140) coopera con un parquímetro, máquina de boletos o máquina expendedora.

En el paso (249), el saldo actual de valor almacenado $V que se- almacena en la cartera de valor almacenado (122) de la tarjeta de pago (110), se revisa, ya sea por la terminal o la tarjeta, para determinar si es suficiente para pagar el monto a pagar $P. Si el resultado del paso (249) es positivo, entonces, en el paso (257) , un monto $P, que es revisada por la tarjeta para que sea positiva para evitar que un criminal haga de manera efectiva el valor almacenado a la tarjeta durante una transacción de pago, es transferido por valor almacenado de la tarjeta a la terminal del comerciante, lo que deja efectivamente la cartera del valor almacenado (122) con un saldo de $V-$P. opcionalmente, la transferencia de valor almacenado de $P está basada en el intercambio de monedas de conformidad con las patentes estadounidenses Nos. 6,119,946 y 6,467,685, lo que proporciona un mecanismo de auditoría costeable para la transferencia de valor almacenado, como se describe más adelante con referencia a la Figura 5A. En el paso (265), la tarjeta genera y proporciona a la terminal un registro de pago de valor almacenado para el monto ($P) , que es firmado por la tarjeta y es verificable por un módulo procesador de valor almacenado (194) del servidor de procesamiento de valor almacenado (190), como se describe más adelante con referencia a la Figura 6.

Si en el paso (249), la cantidad $V del valor almacenado es insuficiente para el pago del monto $P, entonces en el paso (251), la tarjeta o terminal determinan un monto de cargo $X y un monto de cambio $Y. de acuerdo con el Cargo y Cambio descrito en las patentes estadounidenses nos. 5,744,787 y 6,076,075, $X normalmente es igual al parámetro de $CARGOMIN mencionado anteriormente, pero también se puede configurar a un valor más grande determinado por las reglas operaciona'les programadas en el controlador de valor almacenado (152) de la terminal del comerciante (140) o cartera de valor almacenado (122) de la tarjeta de pago (110) . $Y, el monto de cambio, es calculado, por la terminal o la tarjeta, como $X-$P.

En el paso (261), un monto de $X es cargado a la tarjeta por el controlador de cargos (156) de la terminal del comerciante (140) junto con un módulo de cargo (118) de la tarjeta de pago (110) y la tarjeta verifica, mediante el módulo de cargo (118), que el pago de $X haya sido exitoso. Después, en el paso (269), la cartera de valor almacenado (122) de la tarjeta de pago (110) acuerda aceptar del controlador de valor almacenado (152) de la terminal del comerciante (140) , un monto neto de valor almacenado de $Y, sólo si $Y<$X; esta transferencia de valor almacenado termina con la cartera de valor almacenado (122) conteniendo $V+$Y. Opcionalmente, la transferencia de valor almacenado está basada en el intercambio de monedas de acuerdo con las patentes estadounidenses nos. 6,119,946 y 6,467,685, que proporciona un mecanismo de auditoria costeable para la transferencia del valor almacenado. Finalmente, la tarjeta calcula $X-$Y, ej . , el monto de cargo menos el monto del valor almacenado recibido como cambio de la terminal, y genera y proporciona a la terminal un registro de pago de valor almacenado para $X-$Y que se firma y/o encripta por la tarjeta, y es verificable por el módulo procesador de valor almacenado (194) del servidor de procesamiento de valor almacenado (190), como se describirá a mayor detalle en referencia a la Figura 6 más adelante.

Se notará que mientras la terminal puede tomar todas o parte de las decisiones para la determinación de $P, $X y $Y, la tarjeta controla exclusiva y estrictamente las siguientes operaciones: • La tarjeta aceptará un monto neto de $Y en valor almacenado sólo al verificar la complementación exitosa de un cargo en linea o fuera de linea para $X>$Y (paso 269) . Esto evita que un pirata informático use una terminal de comerciante sometida a piratería para introducir grandes cantidades de valor almacenado en una tarjeta para que se gaste en otro lugar, y también hace que la adición del valor almacenado a la tarjeta sea dependiente del cargo de una cantidad más grande a la tarjeta, lo que hace dichas transacciones poco atractivas para el tarjetahabiente . Adicionalmente y preferentemente, $X está limitado por cualquiera o ambos del controlador de cargos (156) de la terminal del comerciante (140) y la cartera del valor almacenado (122) de una tarjeta de pago (110) por lo que las transacciones de Cargo y Cambio están limitadas a una cantidad relativamente pequeña, digamos, igual al, $CARGOMIN o no mayores de dos veces el $CARGOMIN, lo que restringe aún ' más el daño y la motivación criminal para el uso de una terminal de comerciante sometida a piratería para añadir valor a una tarjeta para ser gastado en otras terminales para compras.

Los montos cargados a la tarjeta por una terminal (tal como $X en este caso) , se asume que se conocen por el módulo de cargo (118) de la tarjeta de pago (110) (Figura 1) tanto en transacciones en línea como fuera de línea, de acuerdo con el esquema de cargo basado en la tarjeta inteligente (ej . , crédito o débito) 'que participa en el sistema de pago (100) de la Figura 1. Por ejemplo, si el esquema de cargos está basado en el estándar EMV, entonces el monto del cargo es conocido para la tarjeta de acuerdo con §15.4 (cargos en línea) y §17.4 (cargos fuera de línea) de la Common Payment Application Specification (Especificación de Aplicación de Pago Común) , Versión 1.0 emitida por EMVCo., LLC, en Diciembre de 2005.

La comunicación entre el módulo de cargo (118) y la cartera de valor almacenado ' (122) de la tarjeta de pago (110), para que la cartera de valor almacenado (122) esté alerta del cargo exitoso de $X por parte del módulo de cargo (118), se puede hacer de varias maneras, por ejemplo, almacenando un mensaje accesible para el microprocesador de la tarjeta (126) dentro de la tarjeta de pago (110) , o al almacenar un mensaje firmado por un módulo de' carga (118) en la terminal del comerciante (140) .

La tarjeta genera y proporciona un registro de pago de valor almacenado firmado y/o encriptado (paso 273 y paso 265) por un monto de $X (el monto de cargo) menos $Y (el monto dé cambio) , ó $P (el monto de valor almacenado positivo recibido) , todos ¦ los valores conocidos directamente por la tarjeta. Por lo tanto, el registro de pagos de valor almacenado que es firmado y/o encriptado por la tarjeta presentada por la terminal del comerciante a la liquidación para la determinación del monto pagado por el servidor de procesamiento de valor almacenado (190) al comerciante, no puede ser determinado arbitrariamente por el terminal de comerciante para el reclamo de montos relacionados con el valor almacenado excesivos a la liquidación. Esto restringe en gran medida el daño y la motivación criminal de un comerciante usando una terminal de comerciante sometida a piratería para el reclamo de cantidades relacionadas con el valor almacenado excesivas a la liquidación.

El uso de monedas para auditar El uso opcional de monedas, cada moneda teniendo una denominación y un número de serie único, para la representación de valor almacenado, como se describe en las patentes estadounidenses Nos. 6,119,946 y 6,467,685, permite que el módulo procesador de valor almacenado- (194) del servidor de procesamiento de valor almacenado (190) la identificación efectiva y rápida de las terminales comprometidas y las tarjetas que han cooperado con dichas terminales, siendo dichos dispositivos detectados como puntos focales que suministran monedas falsas (dichas monedas son identificadas porque ostentan números de serie duplicados o sin emitir) . Una vez que una terminal o tarjeta sospechosa son marcadas, una investigación identificará el comerciante/tarjetahabiente, inmediatamente llevará a la terminación del suministro de certificados nuevos a las terminales comprometidas, y sirve como un disuasivo principal contra el crimen de los comerciantes y los tarjetahabientes .

Si un valor almacenado basado en monedas se usa, entonces las dos transacciones de transferencia de valor almacenado en la Figura 5, en los pasos (257) y (259), entonces el uso de monedas para mover $P de la tarjeta o $Y de¦ la terminal a la tarjeta, respectivamente. En ambos casos, las monedas de diferentes denominaciones pueden moverse en ambas direcciones, y sólo el monto neto de la transferencia, ej., $P ó $Y, que es bien conocido por el ta jetahabiente, sirve para la determinación del monto de la transacción reportado dentro del registro de pagos del valor almacenado que se proporciona por la tarjeta de pago a la terminal del comerciante.

Una discusión detallada en el uso de la presente innovación dentro de un sistema de valor almacenado basado en monedas, es tratado en referencia a la Figura 5A.

El esquema de liquidación de valor almacenado La transacción de pago de valor almacenado incluida en la Figura 5, termina con un registro de pago de valor almacenado para $P ó $X-$Y, registrado en la terminal del comerciante. Se apreciará que una terminal adecuada calculará $X-$Y=$P, por lo que, en ambos casos, el monto a pagar $P real se registra dentro de los registros de pago acumulados por la terminal del comerciante, como base para otras liquidaciones relacionadas con el valor almacenado. Un esquema detallado para la liquidación basado en dichos registros de la transacción, en donde los registros están agregados por marcas de tarjetas y cuotas de comerciantes se calculan por marca, se describe en la patente estadounidense no. 6,065,675 que se incorpora en este documento mediante referencia. El proceso de la Figura 5 asegura que los registros de pago se generen y se firmen por las tarjetas respectivas, para que ninguna terminal de comerciante pueda generar registros de pago de valor almacenado falso. Obviamente, una terminal comprometida puede presentar duplicados de registros de pago legitimo, pero debido a que cada registro es único (ver la referencia más adelante con relación a la Figura 6) , dichos duplicados serán inmediatamente marcados por el módulo del procesador de valor almacenado (194) del servidor de procesamiento de valor almacenado (190) , evitando cualquier daño y disuadiendo en gran medida los que podrían volverse criminales por dichas iniciativas.

UNA TRANSACCIÓN DE PAGO DENTRO DE UN SISTEMA DE VALOR ALMACENADO BASADO EN MONEDAS La discusión con referencia a la Figura 5 anteriormente mencionada, el uso opcional de monedas para la representación de valor almacenado, de acuerdo con las patentes estadounidenses nos. 6,119,946 y 6,467,685. El uso de monedas con números de serie de diferente denominación para la representación de valores almacenados, ofrece mecanismo de auditoria costeable que también es benéfico para la presente innovación. La presente discusión con referencia a la Figura 5A. muestra cómo el mecanismo de la Figura 5 es adaptado para las implementaciones que usan valor almacenado basado en moneda.

La Figura 5A ilustra una transacción de pago, hecha por una tarjeta de pago (110) a una terminal de comerciante (140) (Figura 1) . Algunas de las operaciones y decisiones descritas más adelante son ejecutadas por la terminal del comerciante, otras pueden ser ejecutadas por la terminal del comerciante o la tarjeta de pago, y aún otras se deben ejecutar por la tarjeta de pago por razones de seguridad; se notará que la tarjeta de pago se considera segura y confiable, mientras que la terminal del comerciante se considera, en el presente contexto, no confiable. La transacción de pago descrita más adelante sigue la lógica de Cargo y Cambio (patentes estadounidenses nos. 5,744,787 y 6,076,075) y la auditoría basada en monedas (patentes estadounidenses nos. 6,119,946 y 6,467,685) todas incorporadas en este documento mediante referencia.

En el paso (241A) , una tarjeta de pago (110) con una cantidad $V, representada por monedas, en esta cartera de valor almacenado (122) hace una interfaz con una terminal de comerciante (140) para hacer un pago de $P. Preferentemente, pero no necesariamente, el paso (241) se lleva a cabo siguiendo la ejecución del procedimiento de la Figura 4, en donde la tarjeta comprueba que¦ una terminal del comerciante (140) tiene un certificado sin expirar válido.

De acuerdo con Cargo y Cambio (patentes estadounidenses nos. 5,744,787 y 6,076,075), existe un parámetro $CARG0MIN que define un umbral adecuado para llevar . a cabo transaccioOnes de cargo convencionales (crédito o débito) . En el paso (245) , el monto a pagar $P es comparado por la terminal con el $CARGOMIN, y si es igual o mayor a $CARGOMIN, entonces en el paso (253). la transacción es referida como controlador de cargo (156) de la terminal de comerciante (140) para cargar convencionalmente $P a la tarjeta de pago (110) de acuerdo con el módulo de cargo (118) . Se notará que en algunas terminales, sin embargo, los pasos (245 y 253) son redundantes y no se usan, debido a que todas las cantidades de pago $P en esa terminal, se sabe que son menores a $CARGOMIN, como seria el caso en donde la terminal del comerciante (140) coopera con un parquímetro, máquina de boletos o máquina expendedora.

En el paso (249) el saldo actual del valor almacenado $V que está almacenado en la cartera de valor almacenado (122) de la tarjeta de pago (110) es revisado, ya sea por la terminal o por la tarjeta, para determinar si es suficiente el pago del monto a pagar $P.

Si el resultado del paso (249) es positivo, entonces en el paso (255) el monto $P es procesado ya sea por cartera de valor almacenado (122) de la tarjeta de pago (110) o el controlador del monto almacenado (152) de la terminal del comerciante (140) , para determinar las monedas que necesitan ser transferidas de la tarjeta a. la terminal del comerciante (como se muestra en el paso (131-1) de la Figura 13, en las patentes estadounidenses nos. 6,119,946 y 6, 467, 685) y cuyo valor total ahora se calcula por la cartera de valor almacenado (122) como $B; y para determinar las monedas que necesitan ser transferidas desde la terminal del comerciante a la tarjeta (como se muestra en el paso (131-3) de la Figura 13 en las patentes estadounidenses nos. 6,119,946 y 6,467,685) y cuyo valor total ahora se calcula por la cartera de valor almacenado (122) como $A.

En el paso (257A) la tarjeta envía a la terminal las monedas determinadas en el paso (255) y cuyo valor total es $B y acuerda recibir de la terminal del comerciante las monedas determinadas en el paso (255) y cuyo valor total es $A sólo después de verificar que $A<$B, ej . , que no hay un incremento efectivo de la cantidad total del valor almacenado dentro de la cartera de valor almacenado (122) se pueden dar durante una transacción de compra; de otra manera, la tarjeta rechaza la transferencia de valor almacenado en la tarjeta o aborta la transacción. Si la tarjeta controla el cálculo o ejecución del intercambio de monedas, entonces, preferentemente, la tarjeta primero enviará monedas a las terminales antes de aceptar monedas de la terminal, o de otra manera, usar un protocolo de intercambio de monedas que aborta una transacción de intercambio de monedas, a menos que las monedas sean intercambiadas como lo decidió la tarjeta. Esto evita que un pirata informático de la terminal del comerciante, aún si la terminal del comerciante calcula las monedas a ser intercambiadas entre una tarjeta y la terminal del comerciante, explote el mecanismo de intercambio de monedas para introducir de manera efectiva valor almacenado falso en la tarjeta.

En el paso (265A) , la tarjeta proporciona a la terminal un registro de pago por el monto de $B-$A, que representa el monto neto del valor almacenado transferido de la tarjeta a la terminal del comerciante como se calculó con la tarjeta. El registro de pago se firma y/o encripta por la tarjeta, y es verificable a la liquidación por el módulo del procesador de valor almacenado (194) del servidor de procesamiento de valor almacenado (190) , como se describe a mayor detalle con referencia a la Figura 6 más adelante.

Si en el paso (249) la cantidad de $V de valor almacenado no es suficiente para el pago del monto $P, entonces, en el paso (251A) , los montos $P, $V son procesados por cualquier cartera de valor almacenado (122) de la tarjeta de pago (110) y/o controlador de valor almacenado (152) de la terminal del comerciante (140), para determinar el monto de cargo $X (como en el paso (251) de la Figura 5) ; las monedas que necesitan ser transferidas de la tarjeta a la terminal del comerciante cuyo valor total ahora se calcula por la cartera de valor almacenado (122) como $B; y las monedas que necesitan ser transferidas de la terminal del comerciante a la tarjeta, y cuyo valor total se calcula ahora por cartera de valor almacenado (122) como $A. Las respectivas transferencias de monedas en el contexto de un cargo $X, son mostradas en las columnas 14-15 de la patente estadounidense 6,119,946.

En el paso (261) , una cantidad de $X se carga a la tarjeta por el controlador de cargo (156) de la terminal del comerciante (140) junto con el módulo de carga (118) de la tarjeta de pago (110) y la tarjeta verifica, mediante el módulo de cargo (118), que el pago de $X haya sido exitoso.

En el paso (269A) , la tarjeta envía a la terminal las monedas determinadas en el paso (251A) y cuyo valor total es $B y acuerda recibir de la terminal del comerciante las monedas determinadas en el paso (251A) y cuyo valor total es $A sólo después de verificar que $A=$X+$B, ej . , que no hay un incremento efectivo del monto total del valor almacenado dentro de la cartera de valor almacenado (122) se pueden dar detrás del monto $X cargado a la tarjeta durante la transacción de Cargo y Cambio. Esto evita que un pirata informático de la terminal del comerciante, aún si la terminal del comerciante calcula las monedas a ser intercambiadas entre una tarjeta y la terminal del comerciante, de explotar el mecanismo de intercambio de monedas para introducir de manera efectiva valor almacenado falso en la tarjeta.

En el paso (273A) , la tarjeta proporciona a la terminal un registro de pago por el monto de $X+$B-$A, que representa el monto neto del cargo+valor almacenado transferido de la tarjeta a la terminal del comerciante como se calculó con la tarjeta. El registro de pago se firma por la tarjeta, y es verificable a la liquidación por el módulo del procesador de valor almacenado (194) del servidor de procesamiento de valor almacenado (190) , como se describe a mayor detalle con referencia a la Figura 6 más adelante.

Recarga Insegura en una Terminal de Pago La Figura 5B describe una sesión de pago de $P y/o recarga en una terminal no confiable. En el paso (241B) , una tarjeta hace interfaz con una terminal de pago para hacer un pago de $P, en donde $P ha sido determinado por una entrada recibida del tarjetahabiente o comerciante automático. En el paso opcional (245B) , se determina, ya sea automáticamente por el importe de pago o manualmente de acuerdo con una entrada recibida del tarjetahabiente o comerciante, ya sea que el pago se va a hacer por cargo, en cuyo caso el pago es cargado de manera convencional en el paso (253) . En el paso (249B) , se determina si el siguiente paso iniciará un pago o una transacción de recarga, por ejemplo, una transacción de recarga puede ser necesaria si el saldo actual en la cartera es menor a $P, o si el tarjetahabiente desea recargar valores para futuros usos. Si el pago se ha decidió en el paso (249B), entonces en el paso (257) un monto neto positivo $P de valor almacenado es transferido de la tarjeta a la terminal (ya sea usando monedas o cualquier otra forma de valor almacenado) , y en el paso (265) , la tarjeta proporciona un registro de pagos $P firmado y/o encriptado a la terminal. En el paso (275), una entrada recibida por la terminal del tar etahabiente, puede indicar que el tarj etahabiente está interesado en otra transacción, por ejemplo, para recargar manualmente valor almacenado adicional a la tarjeta para su uso futuro, en cuyo caso, el procedimiento se va de vuelta al paso (249B) .

Si en el paso (249B) se selecciona una recarga, entonces el procedimiento se mueve al paso (251B) para la determinación del monto- de carga $X, por ejemplo, de acuerdo con una entrada recibida del tar etahabiente . Bajo el escenario de la Figura 5B, se cree que la sesión de recarga no está asegurada, ej . , no se completa a través de una sesión segura entre la ' tarjeta de pago (110) y el servidor de procesamiento de valor almacenado (190) (Ver Figura 1) , en donde la terminal del comerciante (140) sirve meramente como un conducto de comunicación. En el paso (261), la tarjeta paga $X a la terminal por cargo y verifica que el pago pueda hacerse en linea o fuera de linea, vía el módulo de cargo (118) de la tarjeta de pago (110) (Figura 1). En el paso (269B) , la tarjeta acepta un monto $Y de valor almacenado en la cartera de valor almacenado (122) sólo después de verificar que $Y es igual a $X o puede ser ligeramente menor si se aplica un cargo por recarga. En el paso (275), la terminal recibe una entrada del tarjetahabiente ya sea para concluir la sesión o ir al paso (249B) para otra transacción, por ejemplo, hacer una compra con el valor almacenado recién cargado.

RECARGA SEGURA DE MONEDAS La Figura 5C ilustra modos de una cartera de monedas que puede ser cargada a través de una sesión segura entre cartera de valor almacenado (122) de la tarjeta de pago (110) y el servidor de procesamiento de valor almacenado (190) , y además, hace una compra de monedas de valor almacenado en una terminal del comerciante (140).

En el paso (241C) y el paso (249C) , el tarjetahabiente selecciona si desea acceder a una terminal de recarga para recargar valor almacenado en la tarjeta o a una terminal de pago para pagar con la tarjeta. Una "terminal de recarga" se refiere a cualquier dispositivo de comunicación que pueda proporcionar comunicaciones de datos entre la tarjeta de pago (110) y el servidor de procesamiento de valor almacenado (190) tal como una terminal de comerciante o un quiosco de recarga operado por el hombre (que también pueden aceptar efectivo para la recarga) , una computadora personal, un teléfono móvil o un cajero automático. Si una transacción de recarga se ha seleccionado, entonces en el paso (281) , una sesión de recarga segura se establece entre la tarjeta de pago (110) y el servidor de procesamiento del valor almacenado (190) . En el paso (285) , el pago del monto de recarga (Te) , opcionalmente con la adición de una cuota por servicio, se paga ya sea con cargo a la tarjeta, o con cargo a otra tarjeta, o pagando en efectivo, de acuerdo con la naturaleza de la terminal de recarga. En el paso (289) la tarjeta de pago (110) o el servidor de procesamiento de valor almacenado (190) calcula las monedas que se necesitan mover hacia y desde la cartera del valor almacenado (122) , y en el paso (293), las monedas son movidas en realidad bajo la sesión segura establecida en el paso (281) .

Se notará que en las sesiones de recarga de los pasos (281-293) , la tarjeta no necesita (pero si puede) supervisar el flujo de las monedas, debido a que tanto la tarjeta de pago (110) como el servidor de procesamiento del valor almacenado (190) son confiables y la sesión de recarga entre los mismos se hace a través de una sesión de comunicación segura.

Si en el paso (241) y el paso (249), el tarjetahabiente selecciona hacer un pago de $P en una terminal de comerciante no confiable, entonces en el paso (255), la tarjeta y/o la terminal del comerciante calculan y determinan las monedas que se necesitan mover de la terminal del comerciante a la tarjeta y cuyo valor total es $A, y las monedas que necesitan moverse de la tarjeta a la terminal del comerciante y cuyo valor total es $B. En el paso (257A) , la tarjeta envía a la terminal las monedas determinadas en el paso (255) y cuyo valor total es $B y acuerda recibir de la terminal del comerciante las monedas determinadas en el paso (255) y cuyo valor total es $A sólo después de verificar que $A<$B, ej . , que no hay un incremento efectivo de la cantidad total del valor almacenado dentro de la cartera de valor almacenado (122) se pueden dar durante una transacción de compra; de otra manera, la tarjeta rechaza la transferencia de valor almacenado en la tarjeta o aborta la transacción. Si la tarjeta controla el cálculo o ejecución del intercambio de monedas, entonces, preferentemente, la tarjeta primero enviará monedas a las terminales antes de aceptar monedas de la terminal, o de otra manera, usar un protocolo de intercambio de monedas que aborta una transacción de intercambio de monedas, a menos que las monedas sean intercambiadas como lo decidió la tarjeta. Esto evita que un pirata informático de la terminal del comerciante, aún si la terminal del comerciante calcula las monedas a ser intercambiadas entre una tarjeta y la terminal del comerciante, explote el mecanismo de intercambio de monedas para introducir de manera efectiva valor almacenado falso en la tarjeta.

Se notará que bajo el procedimiento de la Figura 5C, la tarjeta no necesariamente incluye una función de cargo, debido a que la recarga de valor almacenado se puede hacer, en algunas modalidades, al cargar otra tarjeta o al pagar con efectivo. La presente modalidad puede ser atractiva, por ejemplo, para tarjetas de valores almacenados recargadas por padres y usadas por los' hijos.

EL REGISTRO DE PAGOS CON VALOR ALMACENADO Como se comentó anteriormente en relación con la Figura 5, una transacción de pago con valor almacenado termina ya sea en el paso (265) o el paso (273) , con la tarjeta generando y enviando a la terminal un registro de pago con valor almacenado por el monto de ya sea $P ó $x-$Y, respectivamente. La figura 6 ilustra el contenido de dicho registro de pago con valor almacenado (280) . El registro de pago es preferentemente representado por un tren de texto que puede ser leído e interpretado por el controlador de valor almacenado (152) de la terminal del comerciante (140). El tren de texto incluye cuatro campos: información de la tarjeta (280C) , información de la terminal (280T) , información del pago (280P) y firma digital (280D) . La información de la tarjeta (280C) identifica la tarjeta de pago (110) por los datos convencionales, tales como el número de tarjeta y el emisor de la tarjeta. La información de la terminal (280T) identifica la terminal por la ID de la terminal (200T) recuperada por la tarjeta del certificado de la terminal (200) . La información del pago (280P) incluye ya sea $P del paso (265) o $X-$Y del paso (273) de la Figura 5; preferentemente también incluye la hora de la transacción que se asume sea igual a la hora de la terminal recibida en el paso (201) de la Figura 4, y posiblemente también un número de serie de la transacción recibido de la terminal. También incluye los particulares de una transacción por cargo para $X, si dicha transacción se ha llevado a cabo en el paso (261)· de la Figura 5. La firma digital (280D) se genera por la cartera de valor almacenado (122) de la tarjeta de pago (110) con respecto al contenido de los campos (280C, 280T y 280P) , que es verificable por el servidor de procesamiento del valor almacenado (190) a la liquidación .

LIQUIDACIÓN DE VALOR ALMACENADO La Figura 7 describe el procedimiento de liquidación, iniciado periódicamente por la terminal del comerciante (140) al conectarse al servidor de procesamiento de valor almacenado (190) a través de una red (170) . La frecuencia típica de dichas liquidaciones es una vez al día o cada dos días, preferentemente durante horas inhábiles por la noche, o como sea necesario. La frecuencia de la liquidación es predeterminada por el servidor de procesamiento de valor almacenado (190), lo que afecta la hora de expiración del certificado de la terminal (200) proporcionado por el servidor del procesamiento del valor almacenado (190) a la terminal durante la liquidación. Se notará que otra sesión de liquidación se puede hacer por parte de la terminal del comerciante (140) al conectar con el servidor de procesamiento de cargos (180) para los cargos por liquidación convencionalmente hechos en el paso (253) de la Figura 5.

En el paso (305) , la terminal del comerciante (140) se conecta con el servidor de procesamiento del valor almacenado (190) para su liquidación. En el paso (313), la terminal reporta al servidor de procesamiento de valor almacenado (190) todos los registros de pago de valor almacenado (280) registrados en el paso (265) ó (273) de la Figura 5; todos los cargos hechos en el contexto de Cargo y Cambio en el paso (261) de la Figura 5; y los datos de auditoría. Toda la información reportada se relaciona con las transacciones hechas desde la liquidación de valor almacenado previa, y los datos se reinician en la terminal del comerciante para el- siguiente ciclo de día laboral. Los cargos de Cargo y Cambio hechos en el paso (261) son reportados ya sea por separado o son incluidos en la información del pago (280P) del registro de pagos con valor almacenado (280), como se describió anteriormente. Los datos de auditoria están preferentemente, pero no necesariamente, en la forma de monedas que son intercambiados entre el módulo del procesador del valor almacenado (194) del servidor de procesamiento del valor almacenado (190) para reiniciar el controlador del valor almacenado (152) para su preparación designada hacia el siguiente ciclo de día laboral, como lo dictan las patentes estadounidenses nos. 6,119,946 y 6,467,685.

En el paso (317) , el módulo del. procesador de valor almacenado (194) del servidor de procesamiento de datos del valor almacenado (190) junta los datos de auditoria recibidos, las transacciones de cargos del paso (261) y los registros de pago de valor almacenado (280) para identificar irregularidades. Un tipo de irregularidad es un desajuste entre el valor monetario del total de todos los registros de pago de valor almacenado (280) , el importe total de cargos del paso' (261) , y el monto (positivo o negativo) del valor almacenado necesario para reiniciar el controlador del valor almacenado (152) de la terminal del comerciante (140) a su cantidad de preparación (ver las patentes estadounidenses nos. 5,744,787 y 6,076,075). Otro tipo de irregularidad, en un sistema que implementa un sistema de auditoria basado en monedas de acuerdo con las patentes estadounidenses nos. 6,119,946 y 6,467,685, es la detección de monedas que tienen un duplicado o números de serie sin emitir. Aún otro tipo de irregularidad es la identificación de un registro de pagos con valor almacenado (280) que no está debidamente firmado, ni dentro del periodo de hora de pago actual, un duplicado de otro registro de pago con valor almacenado, o un registro de pago de otra terminal . del comerciante. Si se detectan irregularidades, son reportadas y pueden disparar la investigación, decisión e intervención humanas, y acción correctiva. Si no se detectan irregularidades en el paso (317), entonces en el paso (321), la cuenta bancaria del comerciante recibe una acreditación por el total de los registros de pago con valor almacenado (280), de la que se deduce una cuota, posiblemente de acuerdo con las marcas de las tarjetas, como se divulga en la patente estadounidense no. 6,065,675.

Si no se han detectado irregularidades en el paso (317), entonces en el paso (325) el módulo emisor de certificado de terminal (192) del servidor de procesamiento del valor almacenado (190), emitirá un certificado de terminal nuevo (200) que tenga una hora de expiración de acuerdo con la siguiente hora de liquidación pronosticada, y la terminal estará lista para el siguiente ciclo de dia laboral .

Mientras que se ha descrito la invención con respecto a un número limitado de modalidades, los expertos en la materia apreciarán que la presente innovación no está limitada por lo que se ha mostrado y descrito en particular en este documento. Al contrario, el alcance de la presente innovación incluye tanto combinaciones como sub-combinaciones de las varias características aquí descritas, así como variaciones y modificaciones que se les ocurrirían a los expertos en la materia después de leer la descripción, y que no estén en la técnica previa.

Claims

REIVINDICACIONES

1. Un método ejecutado por una tarjeta mientras se hace una transacción de pago con valor almacenado en una terminal de comerciante, el método comprendiendo: hacer interfaz con la terminal del comerciante; y aceptar un primer monto positivo de valor almacenado en la tarjeta sólo después de la confirmación de un segundo monto correspondiente, que no es menor a dicho primer monto, es pagado por la tarjeta en la terminal del comerciante .

2. El método de la reivindicación 1, caracterizado porque dicho segundo monto es pagado por cargo.

3. El método de la reivindicación 1, operando con un sistema de valor almacenado basado en monedas para una transacción de pago que no incluye una transacción por cargo, la transacción de pago entonces consiste de: un primer grupo de cero o más monedas designadas para fluir desde la terminal del comerciante hacia la tarjeta; y un segundo grupo de una o más monedas designadas para fluir de la tarjeta a la terminal del comerciante.

4. método de la reivindicación 1, operando con un sistema de valor almacenado basado en monedas en una transacción de pago que incluye una transacción de cargo y una transacción de valor almacenado que consiste de: un primer grupo de una o más monedas designadas para fluir desde la terminal del comerciante hacia la tarjeta; y un segundo grupo de cero o más monedas designadas para fluir de la tarjeta a la terminal del comerciante, caracterizado porque: dicho primer monto es igual al valor total del primer grupo; y dicho segundo monto es igual a la suma de : el valor total de dicho segundo grupo, y el valor de dicha transacción de cargo.

5. El método de la reivindicación 1, comprendiendo, además: calcular un monto a pagar al restar dicho primer monto de dicho segundo monto; y proporcionar a la terminal del comerciante registro de pago verificable para dicho monto a pagar.

6. El método de la reivindicación 1, comprendiendo, además: verificar la validez de un certificado de terminal recibido de la terminal del comerciante, y abortar la transacción del pago de valor almacenado si dicha verificación es negativa; y si dicha verificación es positiva: leer la hora de la tarjeta de un registro de horas de la tarjeta; recibir una hora de la terminal de la terminal del comerciante; recuperar una hora de expiración de dicho certificado de terminal; revisar si dicha hora de la terminal no es ni previa a dicha hora de la tarjeta ni posterior a dicha hora de expiración de la terminal; y abortar la transacción de pago si dicha revisión es negativa.

7. El método de la reivindicación 6, comprendiendo, además: si dicha revisión es positiva, establecer dicha hora de la tarjeta en dicho registro de horas de acuerdo con dicha hora de la terminal.

8. Un método ejecutado por una tarjeta mientras se hace una transacción de pago con valor almacenado en una terminal de comerciante, el valor almacenado representado por monedas digitales, cada moneda teniendo un número de serie y una denominación de una pluralidad de denominaciones, el método comprendiendo: hacer interfaz con la terminal del comerciante; y aceptar de la terminal del comerciante un número positivo de monedas cuyo valor total es igual a un primer monto, sólo después de confirmar que un segundo monto correspondiente, que no es menor a dicho primer monto, es pagado por la tarjeta en la terminal del comerciante.

9. El método de la reivindicación 8, en una transacción de pago que incluye una transacción de cargo y una transferencia de cero o más monedas de la tarjeta a la terminal del comerciante, caracterizado porque dicho segundo monto es igual a la suma de dicho valor de transacción y al valor total de dichas cero o más monedas.

10. El método de la reivindicación 8, en una transacción de pago que no incluye una transacción de cargo y no incluye una transferencia de una o más monedas de la tarjeta a la terminal del comerciante, caracterizado porque dicho segundo monto es igual al valor total de dichas una o más monedas.

11. Una tarjeta de pago, que comprende: un microprocesador, una interfaz de terminal para hacer interfaz de manera seleccionable con una terminal de comerciante seleccionable para hacer una transacción de pago; un módulo de carga en cooperación con dicho microprocesador para el cargo en una cuenta remota; y una cartera de valor almacenado para el almacenamiento del valor almacenado, en cooperación con dicho microprocesador para mover los montos seleccionables de valor almacenado entre la tarjeta de pago y una terminal de comerciante a través de dicha interfaz de terminal, caracterizada porque la tarjeta de pago es operativa, mientras que la interfaz con una terminal de comerciante seleccionada, para aceptar un primer monto positivo de valor almacenado sólo después de confirmar que un segundo monto correspondiente, que no es menor a dicho primer monto, es pagado por la tarjeta de pago en dicha terminal de comerciante seleccionada.

12. La tarjeta de pago de la reivindicación 11, en una transacción de pago que incluye transacciones de cargo y de valor almacenado; dicho primer monto es un monto neto de valor almacenado recibido por dicha cartera de valor almacenado, y dicho segundo monto es pagado por dicho módulo de cargo.

13. La tarjeta de pago de la reivindicación 11, operando dentro de un sistema de valor almacenado basado en monedas en una transacción de pago que no incluye una transacción de cargo, dicha transacción de pago consiste entonces de: un primer grupo de cero o más monedas designadas para fluir desde la terminal del comerciante a dicha cartera; y un segundo grupo de una o más monedas designadas para fluir de dicha cartera a la terminal del comerciante; caracterizado porque dicho primer monto es igual al valor total de dicho primer grupo y dicho segundo monto es igual al valor total de dicho segundo grupo.

14. La tarjeta de pago de la reivindicación 11, operando dentro de un sistema de valor almacenado basado en monedas en una transacción de pago que incluye transacciones de cargo · y de valores almacenados, caracterizada porque dicho primer monto es el valor total de las monedas recibidas por dicha cartera de valor almacenado de dicha terminal de comerciante seleccionada, y dicho segundo monto es igual a la suma de: un monto de cargo pagado por dicho módulo de cargo en dicha terminal del comerciante seleccionada; y el valor total de monedas transferidas de dicha cartera de valor almacenado a dicha terminal de comerciante seleccionada.

15. La tarjeta de pago de la reivindicación 11, aún más operativa para calcular un monto a pagar al restar dicho primer monto de dicho segundo monto, y proporcionar a dicha terminal del comerciante seleccionada un registro de pago verificable para dicho monto a pagar.

16. La tarjeta de pago de la reivindicación 11, comprendiendo, además, un registro de hora de la tarjeta, y caracterizada porque dicha tarjeta de pago es aún más operativa para: verificar la validez de un certificado de terminal recibido de dicha terminal de comerciante seleccionada; abortar una transacción si dicha verificación es negativa; y si dicha verificación es positiva: leer una hora de tarjeta de dicho registro de hora de la tarjeta; recibir una hora de la terminal de dicha terminal de comerciante seleccionada; recuperar una hora de expiración de la terminal de dicho certificado de terminal; revisar si dicha hora de terminal no es ni previa a dicha hora de la tarjeta ni posterior a dicha hora de expiración de la terminal; y abortar la transacción si dicha revisión es negativa .

17. La tarjeta de pago de la reivindicación 16, siendo aún más operativa, si dicha revisión es positiva, para fijar dicha hora de la tarjeta en dicho registro de la hora de la tarjeta de acuerdo con dicha hora de la terminal .

18. Una terminal de comerciante que comprende: una interfaz de tarjeta para la comunicación con tarjetas de pago; una interfaz de red para hacer interfaz, a través de una red, con un servidor de procesamiento de valor, almacenado; un registro de certificado de terminal para almacenar un certificado de terminal que incluya la ID de una terminal y una hora de expiración de la terminal; y un procesador configurado para: durante la liquidación con dicho servidor de procesamiento de valor almacenado, renovar dicho certificado de terminal almacenado en dicho ¦ registro de certificado de terminal, y durante la interfaz con una tarjeta, presentar dicho certificado de terminal a dicha tarjeta.

19. Un método para la operación de un servidor de procesamiento almacenado, el método comprendiendo: la interfaz con una terminal del comerciante; la recepción de una identificación de terminal de dicha terminal de comerciante; y si no se identifican irregularidades con respecto a dicha identificación de terminal, entonces emitir de un certificado de terminal nuevo para dicha terminal de comerciante,' dicho certificado de terminal incluyendo al menos una identificación de terminal y una hora de expiración de la terminal, y proporcionar dicho certificado de terminal nuevo a dicha terminal del comerciante.

20. El método de la reivindicación 19, comprendiendo, además: si y sólo si no se identifica ninguna irregularidad, entonces ejecutar la liquidación del valor almacenado con dicha terminal del comerciante.