O que é a ISO 8583?

A ISO 8583 é a norma internacional que organiza as mensagens de pagamento. Ela foi criada em 1987 e ainda é a regra principal do mercado. Terminais (maquininhas), plataformas de e-commerce, bancos e bandeiras (como Visa e Mastercard) usam a ISO 8583 para conversar entre si.

O que viaja em uma mensagem ISO 8583?

A mensagem é dividida em pedaços chamados de Bits (ou elementos de dados). Alguns bits carregam informações muito críticas. Se esses dados vazarem, o prejuízo é gigante. Veja os principais:

Sem proteção adequada, esses dados poderiam ser interceptados durante a transmissão. Por isso, o mercado criou várias camadas de segurança para blindar a transação.

Os Pilares da Segurança em Pagamentos

1. Criptografia da Senha com DUKPT

A senha é o dado mais importante. Para protegê-la, o sistema usa o padrão DUKPT (Chave Única Derivada por Transação).
O DUKPT cria uma chave de segurança nova e única para cada compra. Se um hacker conseguir roubar a chave de uma venda, ele não poderá usá-la na próxima. O PIN é criptografado no terminal e enviado em formato protegido no campo PIN Block (Bit 52).

2. Os Algoritmos de Proteção: BITS, 3BITS e AES

Para embaralhar os dados, usamos algoritmos matemáticos. O mercado de cartões usou o (DES) por muitos anos. Porém, com a evolução dos computadores, ele ficou fraco.
A solução foi criar o 3DES. Ele aplica a segurança do BITS três vezes seguidas. É muito mais forte e ainda é o padrão mais usado hoje nas maquininhas.
O futuro e o presente já apontam para o AES. Ele é o algoritmo mais rápido e moderno. A transição do 3BITS para o AES já começou, exigindo a troca de equipamentos e novos testes de integração.

3. Escondendo o Número do Cartão

O número do cartão (PAN) não pode ficar gravado nos servidores. Para cumprir as regras globais de segurança (PCI DSS), usamos duas táticas:
• Truncagem: Omitir partes do número em recibos e telas, mostrando apenas o começo e o fim (ex: 4111 11** **** 1111).
• Tokenização: Trocar o número real por um "token" (um código falso). Esse token só tem valor dentro do sistema do banco.

4. O Túnel de Proteção (TLS)

A mensagem precisa ir da loja até o banco. Para proteger esse caminho, muitas implementações modernas utilizam TLS ou redes privadas para proteger a comunicação. Ele funciona como um túnel blindado. O TLS garante que ninguém consiga ler ou alterar a mensagem enquanto ela viaja pela internet.

5. O Lacre Digital (MAC e NSU)

Como o banco sabe que ninguém alterou o valor da compra no meio do caminho? Ele usa o MAC (Código de Autenticação de Mensagem). O MAC (Message Authentication Code) é como um lacre digital. Se a mensagem chegar com um valor diferente, o banco recusa a venda.
Além disso, temos o Bit 11 (NSU). Ele é o número único da compra. Ele impede que uma mesma transação seja cobrada duas vezes.

6. O Diálogo Secreto do Chip (ARQC e ARPC)

O chip do cartão é um minicomputador inteligente. Quando você insere o cartão, ele gera um código único chamado ARQC. O ARQC é transportado dentro dos dados EMV enviados no campo 55.
O banco verifica esse código e responde com o ARPC, provando para o chip que a resposta veio do banco correto. É uma dupla checagem que torna a clonagem de chips extremamente difícil.

O Cofre Forte: Conheça o HSM

Toda essa matemática complexa não acontece em computadores normais. Ela acontece dentro do HSM (Hardware Security Module).
O HSM é um cofre físico, de alta segurança, que guarda as chaves criptográficas. Ele faz os cálculos blindados. Se um hacker invadir o servidor da empresa, ele não leva as chaves, pois elas nunca saem de dentro do HSM. O HSM processa as senhas e os códigos do chip de forma isolada e segura.
Na CPS, sabemos que a comunicação com os HSMs e a criptografia exigem muito dos sistemas. Por isso, aplicamos testes de stress precisos para garantir que a sua infraestrutura consiga criptografar e processar milhares de vendas por segundo sem cair.

FAQ: Perguntas Frequentes sobre Segurança ISO 8583