DESCRIPCIÓN Campo de la invención

La invención se encuadra en el sector de las Tecnologías de la Información y las Comunicaciones (TICs) con especialización en tecnologías enfocadas a la mejora de la seguridad, la funcionalidad y las comunicaciones en el ámbito de los dispositivos móviles. Antecedentes de la invención

El avance de las tecnologías de la información y de las comunicaciones ha provocado un aumento en las funcionalidades de los dispositivos móviles, permitiendo actualmente su uso como herramienta de autenticación y pago. En este sentido, han aparecido diversos sistemas de pago por móvil cuya tecnología y procedimientos difieren claramente de la invención propuesta, en términos de independencia de operadoras y entidades financieras, flexibilidad y seguridad.

Existen sistemas basados en el intercambio de mensajes SMS entre el móvil del cliente y el terminal del comercio, que deriva en una mayor demora en la ejecución de la operación. Otros sistemas requieren de un hardware específico que ha de integrarse en el dispositivo móvil, bien mediante un sistema de lector de tarjetas conectado a la entrada de los auriculares del dispositivo para transformarlo en un TPV (terminal punto de venta), bien utilizando tecnología NFC ("Near Field Communication"), tecnología de comunicación inalámbrica de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos a menos de 10 cm. Este sistema requiere el cambio de todos los TPVs en los comercios y de nuevos modelos de dispositivos móviles que integren el correspondiente chip.

Por otro lado, diversas compañías proveedores de servicios de telecomunicaciones en otros países han optado por sistemas que permiten cargar los pagos realizados a la cuenta del móvil utilizado por el usuario, así como a cualquier tipo de tarjeta previamente asociada con su cuenta, pero siempre dependiendo del operador de telefonía, y por tanto solo utilizable para realizar micropagos. En cuanto a los sistemas de autenticación, la identificación a través de los sistemas de doble factor (basados en algo que el usuario posee y en algo que el usuario conoce), constituyen actualmente uno de los mecanismos más fiables de protección de datos personales en entornos tales como el comercio electrónico o la realización de operaciones en banca, como es el caso de transferencias o consultas. Los sucesivos problemas de usurpación de identidad en la web, robo de información capturada en Internet durante la transmisión de informaciones, phishing, así como virus, troyanos, etc., han empujado al tratamiento de la información de la forma más protegida posible, ya que los riesgos de seguridad afectan a cualquier tipo de transacción por internet, e incluso a otro tipo de problemas derivados de la suplantación. Por ello, se han delineado actualmente dos formas principales de identificación de usuarios:

• De un lado, el software vinculado con claves OTP ("One Time Password"), en el que la aplicación correspondiente genera claves válidas sólo para una operación concreta y con caducidad temporal.

• De otro lado, los software vinculados con la identificación y validación biométrica, es decir, especializados en técnicas de reconocimiento de seres humanos basados en uno o más rasgos conductuales o físicos intrínsecos, como pueden ser las huellas dactilares, las retinas o la geometría de las manos.

De los dos, el primero es más aceptable por los usuarios, ya que no implica tanta invasión en el área personal de los usuarios como puede ser con el reconocimiento biométrico y es bastante más accesible. Además, como inconveniente para los sistemas basados en biometría, el uso de tecnologías biométricas fiables complica el actual hardware de los dispositivos, ya que dependiendo de la tecnología biométrica elegida, ni siquiera el hardware actual puede soportarla con una fiabilidad suficiente.

Hasta hace poco tiempo, se han utilizado dispositivos token, consistentes en un pequeño hardware que se le otorgaba a un determinado usuario autorizado de un servicio informatizado, para facilitar el proceso de autenticación.

Con el avance de las nuevas tecnologías, este tipo de dispositivos ha sido sustituido por programas de generación de códigos OTP desarrollados a partir de algoritmos de tokenización, y están ampliamente extendidos para distintas funcionalidades, especialmente en seguridad de acceso, pero no se utilizan para aplicarlo a un sistema combinado de autentificacion, pago y fidelizacion mediante dispositivos móviles, como es el caso de esta propuesta de invención.

En los documentos de patente CO20090025571 , US2012173431 , US2008103984, BRPI0701637 se divulgan sistemas de autenticación y realización de transacciones mediante códigos de un solo uso, pero en el que el token es generado y enviado al usuario mediante SMS y/o correo electrónico, a diferencia de la presente propuesta de invención, en la que el token es generado en el propio dispositivo móvil, mediante una aplicación instalada en el mismo.

En el documento de patente GB2425621 , también se observa la utilización de tokens para autorizar pagos en comercios, pero a través de un hardware propio y con un proceso diferente al desarrollado en la presente invención. En referencia al documento de patente AU2010300674, relativo a la arquitectura para una aplicación de pago por móvil, ésta no utiliza códigos dinámicos y propone el uso de la tarjeta SIM para el almacenamiento de los datos bancarios.

El documento de patente MX200901 1633 tampoco refleja la utilización del token para su aplicación de pago, utilizando otro tipo de codificación propio compuesto por 16 dígitos. Además, plantea la tecnología RFID (radiofrecuencia de identificación) como medio para la emisión de la información y posterior lectura de la información de la transacción, lo que requiere la instalación de un tag en el dispositivo móvil, además de un lector en el establecimiento del comercio.

En el caso del documento de patente WO2012003842, es necesaria la conexión entre varios dispositivos. La transacción se realiza con lo que se denomina "crédito telefónico" que posteriormente es canjeado en efectivo, y es necesaria una conexión telefónica entre el usuario y el receptor del pago.

En el caso del documento de patente WO201 1 127354, se utiliza el token para validar la transacción, pero tanto el usuario como el comercio necesitan conexión a internet ya que ambos tienen que validarse, a diferencia del sistema propuesto, que no requiere dicha conexión para el usuario.

En cuanto al documento de patente US2008154772, el sistema plantea que el pagador lanza un mensaje desde su móvil con la información del producto que desea pagar (tipo y cantidad de producto) a un beneficiario. El sistema analiza ese mensaje y toma los datos del pagador (cuenta, etc..) traduciendo posteriormente los datos para saber a quién debe pagar. Opcionalmente, si el pagador lo tiene activo, el sistema le envía un password para que confirme dicho pago. En este caso, quien inicia el proceso es el pagador, mientras que en el sistema propuesto el beneficiario es el que arranca el proceso de compra y solicita al pagador una confirmación a través del token.

Descripción de la invención

La invención se refiere a un sistema y método de pago por medio de dispositivo móvil, mediante la generación de códigos OTP que combina la creación de una plataforma certificada de identificación y el desarrollo de una aplicación que se instala en el teléfono móvil o en el ordenador del usuario, que permite garantizar que la persona que realiza una operación es realmente la persona autorizada y auténtica. El sistema genera un código de seguridad único por transacción que actúa como identificador de la persona y que se valida contra un servidor. La base de la plataforma tiene, por tanto, dos componentes básicos; uno desarrollado y alojado en el servidor central y otro que deberá descargarse en los dispositivos de los usuarios, sea cual sea su sistema operativo. El sistema de pago mediante dispositivo móvil comprende:

- un dispositivo móvil con una aplicación de generación de tokens configurada para generar un token de un único uso y válido durante un período de tiempo determinado, el token generado en función al menos de un dato temporal que determina la caducidad del token, una contraseña de usuario y un número secreto almacenado en el dispositivo móvil;

- un terminal de venta de un comercio, encargado de recibir el token generado por el dispositivo móvil, datos de identificación del usuario y el importe de la compra realizada por el usuario, y remitir dicha información, junto con datos de identificación del comercio, a un servidor;

- el servidor, sincronizado temporalmente con el dispositivo móvil y encargado de:

· acceder a una base de datos de usuarios para:

obtener, a partir de los datos de identificación del usuario, la contraseña de usuario y el número secreto almacenado en el dispositivo móvil, y validar el token recibido a partir de dicha información y el instante actual;

obtener información bancaria para efectuar el pago del importe de la compra por parte del usuario; • acceder a una base de datos de comercios para obtener, a partir de los datos de identificación del comercio, información bancaria para efectuar el abono del importe de la compra;

• enviar a una pasarela de medio de pago la orden de pago con información para realizar el pago y abono del importe de la compra.

El sistema puede comprender además un servidor del programa de fidelización, encargado de la gestión de las cuentas de puntos de los usuarios y de la gestión del pago de la compra mediante puntos o cupones de descuento.

El número secreto almacenado en el dispositivo móvil es un número generado en el momento de la instalación de la aplicación de generación de tokens en el dispositivo móvil.

El dispositivo móvil es preferentemente un teléfono móvil, en cuyo caso los datos de identificación del usuario incluyen el número del teléfono móvil.

Los datos de identificación del comercio comprenden preferiblemente un identificador del comercio y una contraseña. La aplicación de generación de tokens puede estar configurada para generar el token en función también del importe de la compra, asociando de esta forma el token con el importe de compra.

Otro aspecto de la presente invención se refiere a un método de pago mediante dispositivo móvil, que comprende:

- generar, a partir de una aplicación de generación de tokens instalada en un dispositivo móvil, un token de un único uso y válido durante un período de tiempo determinado en función al menos de un dato temporal que determina la caducidad del token, una contraseña de usuario y un número secreto almacenado en el dispositivo móvil;

- enviar a un servidor, el cual está sincronizado temporalmente con el dispositivo móvil, dicho token, datos de identificación del usuario, el importe de la compra realizada por el usuario y datos de identificación del comercio donde se realiza la compra;

- acceder el servidor a una base de datos de usuarios para:

• obtener, a partir de los datos de identificación del usuario, la contraseña de usuario y el número secreto almacenado en el dispositivo móvil, y validar el token recibido a partir de dicha información y el instante actual; • obtener el servidor información bancaria para efectuar el pago del importe de la compra por parte del usuario;

- acceder el servidor a una base de datos de comercios para obtener, a partir de los datos de identificación del comercio, información bancaria para efectuar el abono del importe de la compra;

- enviar a una pasarela de medio de pago la orden de pago con información para realizar el pago y abono del importe de la compra.

El pago se puede realizar también mediante puntos o mediante cupones de descuento obtenidos en un programa de fidelizacion.

Este sistema seguro y certificado permite al usuario garantizar su identificación con un funcionamiento similar al de un dispositivo token, siendo una solución instalable en el dispositivo móvil o PC y no en un elemento hardware adicional.

El usuario final accede a la aplicación instalada en el dispositivo mediante un PIN. Una vez arrancada la aplicación, ésta genera una clave única cada vez que se solicita, y dicha clave deberá ser introducida en el sistema/proceso correspondiente para autorizar la operación. El sistema cuenta con una aplicación (acceso por servicios web) para el establecimiento comercial, con la cual puede realizarse todas las operaciones de venta, consulta de datos de transacciones y operaciones relacionadas con la fidelizacion. A través de ese servicio se realiza una conexión segura de datos (encriptada) y se envían al servidor central, los datos de usuario {token y teléfono móvil) y los datos del comercio (ID del comercio y contraseña) además de la cantidad a cobrar, en el caso de una compra. Este servidor actúa de intermediario entre el establecimiento (tienda web o física) y la pasarela de medios de pago, y en el que reside la información sensible relativa a usuarios y establecimientos, y los datos de identificación de usuario, token o código OTP e importe de la compra. Una vez confirmada la transacción por parte de los bancos emisor y adquiriente, la información se registra en la base de datos de transacciones, lanzando un conjunto de operaciones de fidelizacion asociadas a dicha operación. Algunas de estas operaciones son activadas por el comercio y otras son habilitadas por el propio usuario. Las nuevas ventajas que presentan hoy en día las tecnologías de la información y comunicación en general, y los dispositivos móviles en particular, hacen deseable la utilización de dichos dispositivos (teléfonos y tabletas) para acceder a multitud de servicios sin llevar consigo tarjetas de operaciones (pago -débito o crédito-, de fidelización, identificación, etc.) y evitar la necesidad de manejar y recordar multitud de contraseñas con la inseguridad que su uso conlleva. Además, siendo una realidad global que cada día cobra mayor relevancia, el comercio electrónico experimenta un freno considerable para su crecimiento que reside en la falta de confianza del usuario. De manera general, la construcción de este concepto está siendo realizada por dos vectores: el establecimiento de servicios post venta y la adopción de mecanismos que mejoren la seguridad en el pago. La presente propuesta de invención atiende a esta segunda necesidad del mercado, elevando la seguridad del pago en comercio electrónico dentro de un entorno tecnológico en movimiento con aparición de nuevos dispositivos y de nuevos comportamientos del consumidor.

Esta solución permite realizar pagos en los comercios sin necesidad de tener que llevar consigo tarjetas de crédito, realizar pagos en comercios on Une y venta telefónica de forma segura y, sin necesidad de introducir los datos de la tarjeta de crédito, realizar un solo pago en tiendas on Une multicomercio, y beneficiarse de un sistema de puntos, descuentos y promociones por la utilización del sistema gracias a su modelo de fidelización. Asimismo, todo esto es posible en cualquier modelo de dispositivo móvil e independiente de la compañía telefónica, y su utilización no precisa de cobertura telefónica ni de internet.

El sistema y método propuesto supone una mejora significativa en términos de seguridad, fiabilidad, flexibilidad, usabilidad, accesibilidad y agilidad en los procesos que integran la identificación de usuarios y en la realización de transacciones de pago y fidelización (administración y canje de cupones), entre otras.

Se trata de un sistema que incluye una aplicación instalada en el móvil que, a través de la generación de un OTP que se denomina token, lo convierte en una llave para realizar una gran variedad de servicios, mediante la generación de contraseñas seguras y válidas solo durante un corto periodo de tiempo.

Se emplea un generador de un identificador o token (OTP) desde un dispositivo móvil mediante el uso de un algoritmo que permite la identificación inequívoca del usuario, sin la necesidad en ningún caso de cobertura de comunicaciones (3G, 3,5G, 4G, GPRS, etc.). El token puede ser generado en cualquier momento, desde cualquier lugar. También se emplea una infraestructura para gestionar dicho token a lo largo de todo el proceso de forma transparente, preservando en todo momento el anonimato absoluto del usuario que realiza la transacción y manteniendo la compatibilidad con lo existente. De esta forma, la presente invención introduce nuevas mejoras dentro del proceso, como por ejemplo mayor seguridad en las operaciones de pagos presenciales y no presenciales, al no existir datos que identifiquen de forma directa al usuario. Por otra parte mejora la usabilidad del proceso al permitir realizar pagos en entornos donde la cobertura de comunicaciones pueda suponer un problema (ambientes sin cobertura de datos, como aviones). También deriva en una mayor agilidad en los procesos de pago presenciales cuando por determinadas causas pueda existir una saturación en las redes de terminales de pago (campañas navideñas, etc). Y por último, y de una forma indirecta, supone una mayor seguridad física para el usuario al no tener que portar consigo tarjetas de crédito. Breve descripción de los dibujos

A continuación se pasa a describir de manera muy breve una serie de dibujos que ayudan a comprender mejor la invención y que se relacionan expresamente con una realización de dicha invención que se presenta como un ejemplo no limitativo de ésta. La Figura 1 muestra un diagrama general del proceso.

La Figura 2 muestra un caso de uso de un proceso de compra.

Descripción detallada de la invención

La invención se refiere a un sistema y método de pago y fidelización que combina la creación de una plataforma certificada de identificación y el desarrollo de una aplicación que se instala en el teléfono móvil o en el ordenador del usuario, que permite garantizar que la persona que realiza una operación es realmente la persona autorizada y auténtica. El sistema genera un código de seguridad único por transacción que actúa como identificador de la persona y que se valida contra un servidor. La base de la plataforma tiene, por tanto, dos componentes básicos; uno desarrollado y alojado en el servidor central y otro que deberá descargarse en los dispositivos de los usuarios, sea cual sea su sistema operativo.

Este sistema seguro y certificado permite al usuario garantizar su identificación con un funcionamiento similar al de un dispositivo token, siendo una solución instalable en el dispositivo móvil o PC y no en un elemento hardware adicional. El usuario final accede a la aplicación instalada en el dispositivo mediante un PIN. Una vez arrancada la aplicación, ésta genera una clave única cada vez que se solicita, y dicha clave deberá ser introducida en el sistema/proceso correspondiente para autorizar la operación. El sistema central reconoce la relación número de teléfono y número de token, permitiendo comprobar la autenticidad de la persona y el importe de la compra, y activando los diferentes componentes de fidelización que estén habilitados para esa operación, bien por el comerciante o bien por el usuario.

Según la Figura 1 , que muestra un diagrama general del proceso, el propietario del establecimiento o comercio 1 (tienda on line o presencial) se da de alta 100 en la plataforma del sistema de pago vía web, introduciendo sus datos personales y los datos bancarios (e.g. tarjeta de crédito) con los que va a operar, los cuales son enviados 102 a una base de datos de comercios 7. A dicho establecimiento se le facilitará un ID con el que posteriormente pueda ser identificado en las operaciones de adeudo / abono.

El comercio 1 instala el sistema en su establecimiento, que puede ser una aplicación para móvil, un módulo para su tienda online, su TPV habitual, o un TPV a través de un navegador web a la que accede con cuenta de usuario. El sistema incluye una aplicación (acceso por servicios web) con la cual puede realizarse ese proceso de alta y todas las operaciones de venta y consulta de datos de transacciones. La primera vez que accede debe introducir su código de comercio y su contraseña.

Asimismo, el usuario o consumidor 2 también completa vía web un proceso de alta 104 en el sistema introduciendo los datos personales una primera y única vez. Es necesario que el usuario facilite una serie de datos mínimos durante el proceso de registro en la plataforma (tratamiento, nombre, n ^e de teléfono móvil, así como los datos de tarjeta o tarjetas que desee vincular al sistema y otros datos de relevancia), los cuales son enviados 106 a una base de datos de usuarios 6. Una vez finalizado dicho proceso, el usuario recibe un código de activación vinculado a su registro (ID alfanumérico que permitirá identificar al usuario).

Por otra parte, el usuario se descarga desde la tienda de aplicaciones una aplicación móvil correspondiente al sistema operativo instalado en el móvil. La instala en su dispositivo y la primera vez que el usuario abre la aplicación se le pide su número de móvil y el código de activación recibido. Este código se requerirá única y exclusivamente durante la primera inicialización de la aplicación cliente, dejando de ser válido una vez usado y con el ánimo de verificar que la operación de alta es correcta, durante el proceso de sincronización cliente / servidor. La aplicación móvil solicita que introduzca dos veces un PIN por motivos de protección de la aplicación. Éste es el único momento en el que se requiere conexión de datos, para llevar a cabo dicha sincronización. Este proceso no será necesario repetirlo en ningún otro momento.

Durante el proceso de compra 3, el usuario ejecuta su aplicación móvil, introduce el PIN y obtiene un código OTP de un único uso y válido durante un corto periodo de tiempo, que le permitirá autorizar una determinada transacción financiera de crédito, débito, prepago y/o canjeo de cupones de descuento o similar. Antes de generar el código OTP, el usuario podrá seleccionar el cupón descuento deseado, dentro del programa de fidelización, o la tarjeta con la que realizar la operación.

En el caso de una transacción en comercio electrónico, el usuario introduce este código OTP y su número de móvil en el TPV virtual de la tienda on-line.

En el caso de una compra presencial, el responsable de la tienda introduce el OTP y el número de móvil manualmente en su sistema de ventas, o bien esta introducción puede ser automática estableciendo la transmisión por Bluetooth, por Códigos QR o BIDI, por NFC o cualquier otro sistema similar, en cuyo caso no es necesario otorgar el número de móvil.

Este paso puede desarrollarse de dos formas: a) El usuario introduce el importe de la compra en la aplicación antes de solicitar el código OTP, lo que supone un modo de firma electrónica al asociar el código OTP al importe de la compra. El comercio también la introduce y posteriormente se comparan las cantidades en el servidor. Esto supone un aumento de seguridad. b) El usuario obtiene el OTP sin introducir previamente el importe de la compra en la aplicación, lo que permite realizar la transacción pero sin obtener firma electrónica de la operación.

El usuario, solamente si lo solicita, recibe un mensaje en el móvil con la confirmación de su compra. Este proceso de compra no requiere de conexión a Internet en el móvil del usuario. En ambas opciones, la plataforma analiza el patrón de compras del usuario y aplicando diferentes algoritmos de inteligencia artificial, aprende de las necesidades del cliente proporcionando al comerciante futuras propuestas de ofertas sobre clientes para motivar su vuelta al comercio.

Por motivos de seguridad, la aplicación se cerrará automáticamente una vez generado el OTP o estando abierta en un tiempo configurable y vuelve a solicitar el PIN del usuario.

La aplicación de generación de tokens sobre el dispositivo móvil 4 ha sido desarrollada utilizando lenguaje de programación JAVA (J2ME), así como los SDK (kit de desarrollo de software) de los fabricantes de los principales sistemas operativos soportados por los dispositivos móviles. Se trata de un algoritmo propio de tokenización basado en el algoritmo de dos factores de fuerza (http://motp.sourceforge.net/), que genera claves válidas sólo durante un cierto tiempo, se puede adaptar a cada uno de los usuarios y que una vez usado no volverá a ser válido. Adicionalmente se ha añadido una capa de seguridad a la propia aplicación para el control de acceso a la misma. Estos desarrollos han soportado las pruebas de robustez ante diferentes tipos de ataques, tal y como definen los estándares de seguridad internacionales. El algoritmo cumple con los estándares PKCS (Public-key Cryptography Standars) publicados por RSA.

Como se ha comentado anteriormente, el sistema cuenta con una aplicación (acceso por servicios web) para el establecimiento comercial, con la cual puede realizarse ese proceso de alta y todas las operaciones de venta, consulta de datos de transacciones y acceso a las funciones de fidelización.

El terminal de venta 5 del comercio realiza una conexión segura de datos (encriptada) y envía 108 al servidor central 8 por https (siguiendo los estándares de conexiones de Internet) los datos de usuario {token y teléfono móvil) y los datos del comercio (identificador del comercio y token) además de la cantidad a cobrar, en el caso de una compra. En el caso de un servicio de autentificación, basta con el token y el número de móvil. La autenticación se basa en dos factores: algo que el usuario conoce (el PIN que introduce en la aplicación) y algo que el usuario posee (un número secreto" almacenado en el dispositivo móvil). El servidor 8 conoce tanto el PIN del usuario como el número secreto almacenado en el dispositivo móvil, por lo que es capaz de comprobar la validez del código OTP recibido. Por tanto, el algoritmo para generar el token está duplicado tanto dentro del dispositivo móvil como en el servidor 8.

El servidor 8 actúa de intermediario entre el establecimiento (tienda web o física) y la pasarela de medios de pago 9, y en el que reside la información relativa a usuarios (base de datos de usuarios 6) y establecimientos (base de datos de comercios 7), y los datos de identificación de usuario, token o código OTP e importe de la compra. En este caso sí que es necesaria la conexión de datos 108 entre el comercio 1 y el servidor central 8. Una vez realizadas una serie de verificaciones relacionadas con los identificadores de usuario y establecimiento, así como del token OTP generado por el usuario, la información es transferida a la pasarela de medio de pago 9, que es quien mantiene la información relativa a las tarjetas de crédito, cuentas de banco y por tanto la que debe cumplir con la normativa de seguridad PCI DSS 2.0, exigida en estos casos. En dicha pasarela 9 se procede a la identificación dual de usuario y tarjeta o cuenta bancaria asociada, en ambos casos y se realizan las correspondientes operaciones de adeudo 1 12 con el banco emisor 10 y de abono 1 14 con el banco adquiriente 1 1 .

El pago se puede realizar también mediante puntos obtenidos mediante el sistema de fidelización. Para ello la pasarela de medio de pago 9 comprueba con un servidor del programa de fidelización 14 si el usuario tiene puntos suficientes. Dicho servidor 14 dispone de una base de datos con los puntos acumulados de cada usuario. La pasarela de medio de pago 9 envía el importe al servidor del programa de fidelización 14, el cual resta los puntos de la cuenta de puntos del usuario y devuelve un código de operación correcta. El sistema registra la transacción en el sistema, genera un ticket, envía un email de la compra realizada al usuario y devuelve un mensaje de operación correcta. El servidor del programa de fidelización 14 también gestiona los cupones y descuentos, y emplea métodos de inteligencia artificial para aprender de los hábitos del consumidor. Los desarrollos software de los servicios web atienden a los requisitos establecidos por el establecimiento o comercio 1 , y aquellos necesarios para la interlocución con la pasarela de medio de pago 9. Es decir, la aplicación del terminal de venta 5 recibe toda la información relacionada con la compra (ID establecimiento y contraseña, importe de la compra, así como el número de móvil del usuario y el token). Esto permite que en ningún momento "viajen" los datos sensibles del usuario como nombre o el número de tarjeta de pago, lo que confiere mayor seguridad a la operación en el caso de que se puedan producir ataques de MiM ("Man in the Middle"), entre otros.

Al tratarse de operaciones on-line, la pasarela de medio de pago 9 autorizará o no la operación en función de la disponibilidad de saldo, o cualquier otro motivo, y emitirá los correspondientes mensajes de confirmación.

Una vez confirmada 1 16 la transacción por parte de los bancos emisor 10 y adquiriente 1 1 , la información se registra en la base de datos de transacciones 12. Esta base de datos está asociada a un módulo de transacciones donde se gestionan las mismas, estableciendo funcionalidades y protocolos para los diferentes casos que pueden darse en las distintas operaciones (transacciones erróneas, devoluciones, transacciones correctas, cobros a los comercios, etc.).

Asimismo, el sistema cuenta con un módulo 13 encargado de generar la facturación. Se debe tener en cuenta que la facturación va vinculada al sistema de fidelizacion, por lo que dicho módulo es capaz de gestionar puntos claves como son el IVA de los puntos recibidos por los diferentes comercios, la devolución y gestión de puntos en los casos de devolución de producto, etc. Tras la confirmación de la operación 1 18, se registran los puntos correspondientes en el sistema de fidelizacion. El sistema devuelve la conformidad de la transacción al comercio y envía el ticket al usuario a través de correo electrónico, SMS, u otro tipo de formato.

El sistema factura por un período de tiempo predeterminado a cada comercio en función del saldo de canje de puntos, y se liquida 120 al banco adquiriente 1 1 del establecimiento comercial.

En cuanto al módulo de fidelizacion, éste se ha desarrollado en base a nuevas técnicas basadas en inteligencia artificial para la optimización de búsquedas en grandes cantidades de datos y su gestión, mejorando en el sistema de fidelizacion y siendo el sistema capaz de aprender de las compras que hacen habitualmente los clientes, pudiendo adelantarse a las propias necesidades de éstos. La técnica utilizada es una combinación de algoritmos de redes neuronales, algoritmos genéticos y técnicas de inteligencia de enjambre ("swarm intelligence"). El sistema de fidelización no solo genera los puntos correspondientes de la transacción, si no que mediante diferentes algoritmos, aprende de las costumbres y necesidades de los clientes. Se trata de una herramienta de medición y análisis de los hábitos de los usuarios de la pasarela que proporciona una información que, complementada con las funcionalidades de búsqueda, facilita al empresario la inteligencia de clientes ("customer intelligence") que necesita y al cuál no tiene actualmente acceso. A través de un interfaz gráfico web desarrollado para dar acceso a los datos y movimientos tanto el establecimiento como el usuario tienen acceso en tiempo real a todos sus datos. Por otro lado, estos interfaces, que se han desarrollado como servicios web, permiten una fácil personalización según las necesidades del cliente. Para mejorar las consultas y la velocidad de las mismas, se emplea una arquitectura de servidores montados de manera distribuida lo que permite el lanzamiento paralelo de aplicaciones mejorando notablemente el acceso a la base de datos.

El conjunto está construido en un entorno web, con acceso restringido donde se usan los propios tokens para el acceso seguro. Todos los desarrollos se han realizado en lenguaje de programación web para permitir el acceso remoto de los usuarios.

Los datos se integran en un panel on-line donde las pymes pueden acceder con sus credenciales y obtener sus informes y datos personalizados, encontrando todo lo necesario para la correcta gestión del negocio, en cuanto a inteligencia de mercado y consumidor.

La Figura 2 muestra un ejemplo de un proceso de compra de acuerdo al método de la presente invención. Primeramente, se produce la introducción del importe de compra 200. A continuación, se introduce el número de móvil y el token 202 obtenido mediante la aplicación instalada en el móvil (si se dispone de un lector de QR, la introducción de datos se producirá mediante lectura del mismo). Se comprueba 204 si los datos son correctos, en cuyo caso se procede al cobro del banco emisor 206. Se comprueba si el cobro es correcto 208. En caso negativo, se cancela la operación 210; en caso positivo, se produce el pago al banco adquiriente 212. A continuación se comprueba 214 si este último ha sido realizado correctamente. En caso contrario, se cancela la operación 216. Si el pago se ha realizado correctamente, se procede a la adjudicación de puntos al usuario 218 y el envío del correspondiente ticket 220, poniendo final al proceso de compra.