Diferencia entre revisiones de «Manual de especificaciones técnicas para el sistema interoperable de pago electrónico del estado de Jalisco»

El manual de especificaciones técnicas para el sistema interoperable de pago electrónico del estado de Jalisco define la arquitectura utilizada por la red de recaudo interoperable del transporte público estatal. Este artículo presenta una versión revisada, corregida y actualizada de la última especificación pública disponible.

El manual establece los requisitos para la interoperabilidad entre emisores de tarjetas, distribuidores de productos tarifarios, prestadores de servicio y demás participantes de la red. Asimismo, describe la estructura de datos almacenada en los medios de pago basados en tecnología MIFARE DESFire EV1/EV2, los mecanismos de seguridad criptográfica empleados, el uso de módulos de acceso seguro (SAM), los productos tarifarios soportados y los procedimientos operativos necesarios para la emisión, distribución, recarga, validación y administración de los medios de pago.

Además de servir como referencia documental, esta edición incorpora correcciones de formato, aclaraciones técnicas, referencias cruzadas y observaciones derivadas del análisis de la implementación real del sistema interoperable de Jalisco.

Este artículo contiene la definición técnica que reglamenta la tecnología utilizada en el Estado de Jalisco para la implementación de un modelo de interoperabilidad en sistemas de recaudo. En él se definen la tecnología de los medios de pago, la estructura de la información almacenada en dichos medios, las reglas para su utilización y los protocolos de comunicación entre los actores que participan en la red interoperable de Jalisco.

AES

Advanced Encryption Standard (Estándar Avanzado de Cifrado).

AID

Identificador de aplicación en el medio de pago.

Aplicación

Estructura de datos dentro de un medio de pago que define archivos, codificaciones y reglas de uso.

Cámara de compensación

Sistema de control y compensación encargado de la liquidación y distribución de las operaciones derivadas de las transacciones diarias efectuadas por el pago de tarifas dentro de la red interoperable.

DF

Dedicated File, archivo contenedor de otros archivos DF o EF.

EF

Elementary File, archivo destinado al almacenamiento de datos. No posee sucesores y sus atributos de seguridad pueden asignarse individualmente.

Evento

Operación básica efectuada sobre la aplicación interoperable.

LAM

Lista de Acción para Medios de Pago Interoperables.

LAP_R

Lista de Acción para Productos en Dispositivos de Recarga.

LAP_V

Lista de Acción para Productos en Dispositivos de Validación.

Llave

Secreto compartido entre varios elementos de un sistema utilizado para efectuar operaciones de seguridad.

Medio de pago

Instrumento electrónico mediante el cual un usuario puede acceder al servicio de transporte público realizando el pago correspondiente dentro de la red interoperable.

Operación

Acción llevada a cabo por un usuario o una entidad que produce uno o varios eventos.

Producto

Conjunto de reglas comerciales almacenadas en un medio de pago cuya ejecución permite la prestación de un servicio.

SAM

Módulo de acceso seguro. Se utiliza para almacenar llaves criptográficas, realizar operaciones criptográficas con los medios de pago y facilitar la comunicación segura entre terminales y sistemas centrales.

Tarifa

Unidades de valor descontadas de un producto durante una transacción de validación. Estas unidades son determinadas según las condiciones aplicables a cada usuario.

Usuario

Persona que utiliza el sistema integrado de recaudo.

Validación

Uso de un producto para acceder a un servicio.

Viaje

Conjunto de validaciones que transportan al usuario desde el inicio hasta el final de su recorrido.

Ventana de transbordo

Período durante el cual se cumplen todas las condiciones temporales y operativas necesarias para recibir el beneficio de una tarifa de transbordo durante un viaje.

La información numérica consignada en este documento se expresa en formato hexadecimal cuando el dato incluye el prefijo 0x. Cuando el dato ocupa más de dos bytes, su representación utiliza el orden de bytes Big-Endian. Los valores expresados en formato decimal no incluyen ningún prefijo.

Algunos datos definidos en esta especificación tienen una longitud en bits que no corresponde a un múltiplo de ocho. En estos casos se agregan ceros a la izquierda hasta completar un número entero de bytes. Este procedimiento permite representar todos los datos de forma alineada a nivel de byte.

El modelo de datos descrito en este documento está basado en las tarjetas MIFARE DESFire EV1 y MIFARE DESFire EV2. Ambas tecnologías son compatibles con las cuatro partes del estándar ISO/IEC 14443A para tarjetas inteligentes sin contacto.

MIFARE DESFire EV2 incluye un modo de compatibilidad con versiones anteriores de MIFARE DESFire EV1 y D40. Este es el modo de operación utilizado por la aplicación interoperable descrita en esta especificación.

Entre las funcionalidades proporcionadas por la plataforma MIFARE DESFire se encuentran:

• Comunicación segura entre medios de pago y lectores.
• Manejo de colisiones para múltiples tarjetas presentes simultáneamente en el campo de lectura.
• Protección de integridad frente a interrupciones durante operaciones de escritura.
• Transmisión de datos orientada a archivos.
• Control de acceso basado en llaves criptográficas de aplicación.

La tecnología también incorpora características basadas en estándares abiertos:

• Nombres de archivo basados en ISO 7816.
• Esquemas de seguridad basados en AES o 3DES.
• Comandos de administración de archivos compatibles con ISO 7816-4.

Un medio de pago MIFARE DESFire puede almacenar hasta 28 aplicaciones o directorios, identificados mediante un Application Identifier (AID) de tres bytes y un identificador de archivo ISO de dos bytes.

Cada aplicación puede contener hasta 32 archivos elementales y almacenar de forma segura hasta 14 llaves criptográficas numeradas del 0 al 13, además de los estados especiales free y never. La llave número 0 corresponde a la llave maestra de la aplicación.

Los archivos elementales pueden ser de los siguientes tipos:

• Archivos estándar.
• Archivos con respaldo (backup).
• Archivos de valor.
• Archivos de registro lineal.
• Archivos de registro cíclico.

Todo medio de pago MIFARE DESFire incluye además un directorio maestro que contiene una llave maestra denominada PICC Key. La autenticación mediante esta llave permite crear o eliminar aplicaciones y borrar completamente el contenido del medio de pago.

El modelo de interoperabilidad está basado en el estándar ISO 24014, parte 1. Una red interoperable se define como un sistema en el que existe un conjunto mínimo de medios de pago aceptados por múltiples prestadores de servicio, independientemente del emisor de dichos medios.

Siguiendo el modelo definido, pueden existir los siguientes actores dentro de la red interoperable:

Comité rector

Entidad encargada de emitir y actualizar las reglas técnicas y comerciales de la red interoperable, supervisar su cumplimiento, adherir o retirar entidades participantes y supervisar la operación de la cámara de compensación. Cumple el papel de propietario de la aplicación interoperable.

Comité técnico

Entidad encargada de supervisar la calidad de servicio que deben cumplir los actores del entorno interoperable, definir políticas y condiciones de servicio, establecer mecanismos de sanción, instruir al fiduciario sobre la administración de los recursos del fideicomiso maestro y vigilar el cumplimiento de sus fines.

Cámara de compensación

Entidad encargada de interconectar a todas las entidades de la red interoperable. Realiza la recolección de información transaccional y genera las órdenes de pago necesarias para la compensación y liquidación entre participantes.

Emisores de medios de pago

Entidades autorizadas por el comité rector para fabricar, programar y emitir medios de pago que contengan la aplicación interoperable descrita en esta especificación.

Distribuidores de productos

Entidades autorizadas por el comité rector para almacenar productos dentro de los medios de pago interoperables y efectuar operaciones de distribución y recarga de dichos productos.

Prestadores de servicio

Entidades autorizadas por el comité rector para utilizar productos durante transacciones de validación con el fin de prestar servicios dentro de la red interoperable.

La red interoperable debe cumplir, como mínimo, con las siguientes características:

• Permitir la existencia de múltiples emisores de medios de pago.
• Permitir que los medios de pago almacenen múltiples productos destinados al acceso a servicios.
• Permitir la existencia de múltiples distribuidores de productos.
• Mantener independencia entre la emisión de un medio de pago y la distribución de los productos que este puede almacenar.
• Definir una estructura de datos común para los medios de pago, denominada aplicación interoperable.
• Definir de forma común los productos que pueden ser ofrecidos dentro de la red interoperable.
• Permitir que los usuarios realicen validaciones en toda la red interoperable conforme a las reglas establecidas por el comité rector.
• Permitir que los usuarios realicen recargas de productos mediante distribuidores autorizados.

Para integrarse a la red interoperable es necesario cumplir los requisitos establecidos en el Manual de Procesos y aprobar las pruebas de certificación correspondientes a los niveles 0–1 y 3–4.

Las especificaciones técnicas de hardware y software que deben suministrar los operadores tecnológicos para cada Entidad Usuaria de Recaudo (EUR), incluyendo EUR Tren, EUR Masivo y EUR Colectivo, se encuentran definidas en el Catálogo de Especificaciones Técnicas por EUR.

Dicho catálogo se actualiza periódicamente y la versión más reciente publicada es la que debe considerarse vigente.

Los medios de pago deben tener la capacidad de almacenar, como mínimo, cuatro productos: un monedero, un producto de viaje a crédito, y dos productos de boletos para descuento.

Cada producto debe ser único dentro del medio de pago, por lo que únicamente puede existir una instancia de cada uno con la excepción de los boletos para descuento, en cuyo caso solo se pueden cargar dos únicamente con los identificadores distintos asignados descritos en la aplicación interoperable.

El producto Monedero permite realizar validaciones para el pago de un pasaje.

Este producto almacena un valor positivo equivalente a la cantidad de dinero recargada por el usuario en dispositivos autorizados de la red interoperable. Dicho valor se actualiza descontando los importes correspondientes a las transacciones de pago realizadas.

La cantidad máxima que puede almacenar este producto está limitada por los parámetros definidos por la administración del sistema interoperable.

El producto Monedero puede utilizarse conjuntamente con el producto Crédito para completar el pago de una tarifa cuando el saldo disponible sea insuficiente, siempre que dicha funcionalidad se encuentre habilitada y el producto Crédito esté presente en el medio de pago.

Su valor mínimo es cero.

El producto Crédito permite realizar una validación aun cuando el valor disponible para el pago sea inferior a la tarifa aplicable.

Este producto almacena un valor que se vuelve negativo cuando es utilizado durante una transacción de validación. Dicho saldo negativo regresa a cero cuando es cubierto mediante una operación de recarga.

La funcionalidad de validación a crédito opera conjuntamente con el producto Monedero y únicamente puede utilizarse cuando las reglas de operación del sistema permitan su aplicación.

Durante una recarga del producto Monedero, el pago del saldo pendiente del producto Crédito tiene prioridad. Una vez cubierto el saldo negativo, el valor restante de la recarga se agrega al Monedero.

El producto Boletos para descuento, abreviado como BPD, almacena una cantidad de viajes disponibles en su respectivo archivo de valor.

Las reglas del producto pueden restringir su utilización según diversos criterios, incluyendo:

• Día de la semana.
• Horario de uso.
• Número máximo de viajes permitidos por día.

La prioridad de este producto es superior a la del Monedero y al producto Crédito. Por lo tanto, cuando el producto esté activo, existan viajes disponibles y se cumplan las condiciones de uso establecidas, el sistema debe utilizar el producto BPD o BPD2 de forma preferente durante una validación.

El modelo de seguridad definido para la comunicación entre los medios de pago (nivel 0) y los lectores de medios de pago (nivel 1) está basado en criptografía simétrica. En este esquema, ambos dispositivos comparten un secreto denominado llave.

La tecnología MIFARE DESFire EV1 y MIFARE DESFire EV2 define los mecanismos necesarios para garantizar la confidencialidad e integridad de la información intercambiada. Asimismo, incorpora un protocolo de autenticación mutua que permite verificar la autenticidad tanto del medio de pago como del lector.

El almacenamiento y uso de las llaves por parte de los lectores debe realizarse mediante módulos de acceso seguro (SAM). Estos dispositivos se comunican con los lectores y ejecutan funciones críticas de seguridad, entre ellas:

• Autenticación mutua con el medio de pago.
• Generación y verificación de códigos de autenticación de mensajes (MAC).
• Cifrado y descifrado de información.

Esta especificación exige el uso del algoritmo de cifrado por bloques AES definido por el estándar Advanced Encryption Standard (AES). En consecuencia, toda comunicación entre un módulo SAM y un medio de pago debe utilizar AES con claves de 128 bits.

Las operaciones de seguridad derivadas del uso de AES-128 deben seguir las especificaciones definidas por MIFARE DESFire EV1. Adicionalmente, las llaves almacenadas en los medios de pago deben ser diversificadas de forma que cada una sea única dentro de toda la red interoperable.

Todas las llaves almacenadas en los medios de pago deben ser diversificadas. Esto significa que cada llave presente en una tarjeta debe derivarse a partir de una llave maestra almacenada en un módulo de acceso seguro, mediante una función de diversificación criptográfica.

La función de diversificación utilizada debe ser CMAC, de acuerdo con las recomendaciones para llaves AES-128 definidas por NXP.

Los datos utilizados durante el proceso de diversificación están compuestos por los siguientes elementos:

• Identificador único del medio de pago (UID).
• Identificador de la aplicación donde se almacena la llave (ID_App).
• Identificador del sistema interoperable (ID_Sistema).

La generación de una llave diversificada se realiza mediante el cálculo de un CMAC utilizando:

• Una llave maestra Mk almacenada en el módulo SAM.
• Los datos de diversificación definidos para el medio de pago.

La llave diversificada resultante, denominada Ck, debe ser única para cada medio de pago de la red interoperable.

Los datos de diversificación se construyen utilizando la siguiente secuencia:

0x01 || UID || ID_App || ID_Sistema

Donde:

UID

Identificador único del medio de pago.

ID_App

Identificador de la aplicación en la que se encuentra la llave. Para el directorio raíz este valor es 0x000000.

ID_Sistema

Valor asignado al sistema interoperable del Estado de Jalisco.

El resultado del cálculo CMAC corresponde a la llave diversificada que será utilizada por la aplicación o archivo correspondiente dentro del medio de pago.

La aplicación interoperable define la organización de directorios, archivos, llaves criptográficas y estructuras de datos necesarias para la prestación de servicios dentro de la red interoperable de transporte público del Estado de Jalisco. Asimismo, establece la forma en que deben almacenarse los productos tarifarios, los eventos de uso, la información del usuario y los parámetros operativos requeridos para la operación del sistema.

Las definiciones presentadas en este capítulo se basan en las capacidades de almacenamiento y seguridad ofrecidas por la plataforma MIFARE DESFire EV1, así como en los estándares BS EN 1545 para sistemas de recaudo en transporte público.

La estructura interoperable de Jalisco está compuesta por dos aplicaciones:

Directorio raíz del medio de pago

El directorio raíz está presente de forma obligatoria en todos los medios de pago MIFARE DESFire y es seleccionado automáticamente cuando la tarjeta es energizada. Contiene la llave maestra de la tarjeta y controla operaciones administrativas de alto nivel, incluyendo la creación y eliminación de aplicaciones.

Directorio Jalisco_DF

Jalisco_DF constituye la aplicación interoperable utilizada por la red de recaudo del Estado de Jalisco. Este directorio almacena toda la información necesaria para la emisión, distribución, validación y administración de productos dentro del sistema interoperable.

La aplicación interoperable corresponde a un directorio que contiene los archivos requeridos para la operación del sistema de recaudo.

Los archivos del producto Monedero son requeridos en toda tarjeta operativa. El producto Crédito es opcional. Para boletos de descuento, debe existir al menos una familia de archivos BPD; normalmente se utiliza BPD como producto principal y BPD2 como variante adicional o alternativa.

La vida de la aplicación interoperable y de los productos almacenados en ella puede describirse mediante un conjunto de estados que determinan las funcionalidades disponibles en un momento determinado. Este conjunto de estados se denomina ciclo de vida.

La aplicación interoperable posee un ciclo de vida propio que controla el estado global del medio de pago. Adicionalmente, cada producto almacenado en la aplicación dispone de un ciclo de vida independiente que determina sus capacidades de uso de forma individual.

El ciclo de vida de la aplicación interoperable consiste en un conjunto de estados mutuamente excluyentes que describen las capacidades de la aplicación en un momento determinado. El estado actual se almacena en el campo EstadoAplicación_EF.EstadoAplicación.

La siguiente figura describe las transiciones posibles entre los estados de la aplicación interoperable.

Inicializada

Es el estado inicial de la aplicación interoperable. Se alcanza una vez que el medio de pago ha sido preparado mediante el proceso de inicialización. Este procedimiento debe realizarse en un entorno seguro por una entidad autorizada. Los medios de pago en este estado no pueden utilizarse en la red interoperable.

Activada

Estado operativo normal de la aplicación interoperable. Un medio de pago activado puede utilizarse dentro de la red interoperable y acceder a todas las funcionalidades permitidas por los productos almacenados en él.

Bloqueada

Estado utilizado cuando el medio de pago ha sido restringido temporalmente. Mientras la aplicación permanezca bloqueada, no podrá utilizarse en la red interoperable. Una vez eliminado el motivo del bloqueo, la aplicación puede regresar al estado Activada.

Desactivada

Estado final de la aplicación interoperable. Una aplicación desactivada no puede utilizarse nuevamente ni regresar a otro estado del ciclo de vida.

Cada producto almacenado en un medio de pago posee su propio ciclo de vida. Este ciclo consiste en un conjunto de estados mutuamente excluyentes que describen las funcionalidades disponibles para el producto en un momento determinado.

El estado actual de cada producto se almacena en el campo Servicio(Producto)_EF.EstadoProducto.

La siguiente figura describe las transiciones posibles entre los estados de un producto.

Inicializado

Estado alcanzado cuando la aplicación interoperable ha sido inicializada y se han creado los archivos correspondientes al producto. En este punto los archivos aún no contienen información válida y las llaves definitivas del producto no han sido cargadas.

Activado

Estado operativo normal del producto. Los archivos Contrato(Producto)_EF, Servicio(Producto)_EF y Valor(Producto)_EF deben haber sido inicializados correctamente y las llaves correspondientes deben encontrarse cargadas. Un producto activado puede utilizarse dentro de la red interoperable.

Suspendido

Estado utilizado cuando el emisor del producto determina que este no debe utilizarse temporalmente. Mientras permanezca suspendido, el producto no podrá emplearse para acceder a servicios. Una vez corregida la causa de la suspensión, el emisor puede reactivarlo y devolverlo al estado Activado.

En una red interoperable, el flujo de información ocurre entre diferentes niveles según la estructura de la red. Esta estructura se compone generalmente de los siguientes niveles:

Nivel 0

Medios de pago que contienen la aplicación interoperable.

Nivel 1

Dispositivos lectores de medios de pago. Incluye validadores, dispositivos de emisión de medios de pago y dispositivos de recarga de productos.

Nivel 2

Dispositivos concentradores de transacciones que interconectan los dispositivos de nivel 1 con un sistema central de nivel 3.

Nivel 3

Infraestructura centralizada que administra y gestiona la información generada o destinada a los niveles inferiores. Este nivel es administrado por la entidad propietaria de los dispositivos de nivel 1 y nivel 2 a los que se encuentra conectado.

Nivel 4

Cámara de compensación. Es el nivel más alto de la red interoperable. En este nivel se recolecta la información de la red y se realiza el intercambio de información entre las entidades participantes. Este nivel es supervisado por el comité correspondiente para regular la red interoperable.

Para garantizar la interoperabilidad, las interacciones entre los diferentes niveles deben encontrarse estandarizadas conforme a esta especificación. Sin embargo, debido a la naturaleza jerárquica de la red, únicamente se requiere que sean interoperables los flujos de información ubicados en los extremos de la jerarquía:

• La información almacenada en el nivel 0 e intercambiada con el nivel 1.
• La información intercambiada entre el nivel 3 y el nivel 4.