Professional Documents
Culture Documents
Redefinición
Versión 1.0
10 Mar. 09
CONTENIDO
AUTENTICACIÓN ROBUSTA PARA CLIENTES DEL HOME BANKING DEL BANCO FEDERAL.................................... 1
CONTENIDO...........................................................................................................................................................2
Adecuación del Sistema Home Banking para que incluya la autenticación a través de la tarjeta de
coordenadas.......................................................................................................................................... 9
1. Validar Token al Ejecutar Transacción Sensible .................................................................................10
Adecuación del Sistema Home Banking para que incluya la autenticación a través de la tarjeta de
coordenadas.
3
Actores
Los actores que interactúan con el Sistema Home Banking para la administración de tarjetas de coordenadas,
manejo de clientes y procesos que incluyen autenticación robusta se detallan a continuación:
Administrador Home Banking: El Administrador esta representado por el personal del Banco Federal
encargado de realizar modificaciones al Home Banking, crear perfiles para otros usuarios, agregar
transacciones, habilitar opciones de menú, entre otras.
Usuario Call Center: Miembro del Call Center, el cual podrá bloquear o inicializar usuarios del Home
Banking.
Usuario Natural: El usuario natural esta representado por todos aquellos clientes naturales que poseen
una tarjeta de debito o de crédito para ingresar al sistema y realizar transacciones.
Usuario Jurídico: Clientes jurídicos (empresas) del Home Banking, con o sin TDD (identificación: CI y
RIF).
4
Descripción de casos de uso
Iniciar Sesión HB
«extends» «extends»
«extends»
Consultar Inventario
Desbloquear
de Tarjetas de
Usuario IDG
Coordenadas
BloquearTarjeta de
Coordenadas
Permite obtener información del inventario de “stock” según las siguientes consultas:
Entregada al cliente pero no utilizada (Status Hold-Pending): El sistema deberá verificar contra el
Identity Guard (sistema que genera las tarjetas de coordenadas) si la tarjeta fue activada.
Entregada al cliente y en uso (Status Current): El sistema deberá verificar contra el Identity Guard
si la tarjeta de coordenadas ha sido usada.
Bloqueada por extravío, pérdida ó por intentos fallidos (Status Canceled).
Tarjetas asignadas a un usuario (todos los Status).
Actores: Administrador HB
5
Secuencia:
1. El usuario accede a la opción “Consulta de inventario” y selecciona los parámetros para realizar la
consulta: status de tarjeta de coordenadas (Hold-Pending, Current y Canceled)
2. El sistema realiza la búsqueda y despliega los resultados. Se mostrará como resultado la cantidad de
tarjetas existentes según la búsqueda correspondiente.
Diagrama de Interacción:
Permite a las unidades administrativas bloquear de forma definitiva una tarjeta de coordenadas. Se
requiere iniciar una transacción contra el Identity Guard para que realice la funcionalidad anteriormente
descrita.
Secuencia:
4. El sistema realiza el cambio de status a “Canceled”, además de registrar: fecha, hora y usuario
en la bitácora.
6
Curso Alterno:
Paso 4: Si el cambio no puede ser realizado se emitirá un mensaje de error.
Diagrama de Interacción:
bloquear tarjeta
cambiarStatus(status, serial)
exito
[Si no hubo éxito]
Error
[Si hubo éxito]
actualizarStatus(status, serial)
exito
exito exito
Permite a las unidades administrativas desbloquear el usuario IDG de un cliente en el caso que este
haya sido bloqueado.
Secuencia:
7
Paso 4: En el caso que la Cédula de identidad y/o el RIF no correspondan a un usuario de Home Banking
con tarjeta de coordenadas asignada se emitirá un mensaje de error.
Diagrama de Interacción:
desbloquear usuario
cambiarStatusUser(usuario, status)
cambiarStatusUser(usuario, status)
exito
exito
exito
8
Adecuación del Sistema Home Banking para que incluya la autenticación a través de la tarjeta de
coordenadas
9
1. Validar Token al Ejecutar Transacción Sensible
La tarjeta de coordenadas será solicitada exclusivamente para las siguientes transacciones sensibles:
Clientes Naturales:
Pagos de Servicios con afiliación, Pagos de TDC de Tercero dentro o fuera del Banco, Pagos de TDC
propias fuera del Banco, Transferencias a Tercero dentro o fuera del Banco y Transferencias a
cuentas propias fuera del Banco.
Actualización de datos de la cuenta del Cliente.
Consulta de imagen física de cheques pagados.
Clientes Jurídicos:
Sólo para clientes con rol aprobador que requieren realizar: Pagos de Servicios con afiliación, Pagos
de TDC de Tercero dentro o fuera del Banco, Pagos de TDC propias fuera del Banco, Transferencias
a Tercero dentro o fuera del Banco, Transferencias a cuentas propias fuera del Banco, Nómina,
Proveedores y Domiciliación de Pagos.
Actualización de datos de la cuenta del Cliente.
Consulta de imagen física de cheques pagados.
Secuencia:
1. Este caso de uso comienza luego de que el cliente acceda a la operación sensible, proporcione
todos los datos de la operación y confirme la misma.
2. El sistema valida que la tarjeta de coordenadas esté activa (Status “Current”).
3. El sistema verifica si es una operación de pago o transferencia y que el cliente no haya excedido el
monto máximo fijado por la Institución o por el usuario master según sea el caso.
4. El sistema obtiene las características del PC desde donde se está realizando la operación, lo cual
valida contra la base de datos de Home Banking.
5. El sistema muestra al usuario el código de la tarjeta de coordenadas correspondiente.
Adicionalmente solicita dos coordenadas de la tarjeta y la imagen seleccionada por él durante el
proceso de activación.
6. El usuario introduce las coordenadas y selecciona la imagen.
7. El sistema valida la imagen contra la base de datos del Home Banking.
8. El sistema valida contra el Identity Guard las coordenadas suministradas.
9. Culmina la operación.
10
Curso Alterno:
Paso 1: Si el sistema detecta que la opción de token está desactivada, se podrá realizar la transacción a
través de la pregunta de desafío, luego de lo cual el proceso continúa en el paso 9.
Paso 1: Si el sistema detecta que el cliente posee una tarjeta de coordenadas que no ha sido usada por
primera vez, se envía un mensaje indicando que debe activar la tarjeta de coordenadas y continúa en el
paso 9.
Paso 1: En caso de que no tenga tarjeta de coordenadas asignada se muestra un mensaje indicando que
debe poseer una tarjeta de coordenadas para realizar la operación.
Paso 2: Si el sistema detecta que el cliente posee una tarjeta de coordenadas que no ha sido usada por
primera vez, se emite un mensaje indicando que debe activar la tarjeta.
Paso 3: En caso de no cumplirse algunas de las condiciones anteriores, la transacción no podrá ser
realizada, enviado un mensaje al cliente indicándole que ha excedido el monto máximo permitido o
autorizado.
Paso 4: Si las características del PC (IP) no corresponde con ninguna de las registradas anteriormente,
el sistema enviará un mensaje de alerta al cliente, informándole que la estación o PC no es reconocida
por la institución. El sistema solicita la respuesta a la pregunta de desafío. Si la pregunta es respondida
correctamente, la estación de trabajo será registrada en la base de datos de Home Banking como un
equipo confiable. En caso de que el cliente responda incorrectamente la pregunta de desafío en tres
oportunidades consecutivas el mismo día, el usuario Home Banking y la tarjeta de coordenadas serán
bloqueados. Si el usuario cancela la operación, la transacción se dará como culminada.
Paso 8: Si las coordenadas introducidas no son válidas, al segundo intento consecutivo en el día se
enviará un correo al usuario notificándole que realizó dos intentos fallidos; al tercer intento fallido en el
día se bloquea la tarjeta de coordenadas. Por otra parte, se enviará una notificación vía e-mail al
Departamento de Fraude al tercer intento fallido consecutivo, independientemente de los días en que
fueron realizados dichos intentos y al quinto intento fallido consecutivo se bloqueará el usuario Home
Banking y la tarjeta de coordenadas.
Paso 9: En caso de que la operación requiera un segundo nivel aprobatorio, el sistema de Home Banking
enviará una notificación vía e-mail a los respectivos usuarios aprobadores, dejando la operación
11
pendiente por Autorizar. Una vez que los diferentes usuarios autorizadores accedan a la opción de
Operaciones Pendientes por autorizar y confirmen la misma, se deberá seguir la misma secuencia
descrita en el caso de uso a partir del paso 4.
Diagrama de Interacción:
Se hicieron todas
las validaciones
necesarias y se
confirma la operación
validarTokenActivo() validarTokenActivo()
[token activo]
consultarTarjetaActiva(usuario) consultarTarjetaActiva(usuario)
[tarjeta activa]
validarPC(serialPC, IP, serial navegador) validarPC(serialPC, IP, serial navegador)
resultado resultado
Respuesta correcta:
se almacena ip, serial [PC desconocida]
pc y serial navegador Pregunta desafío
[imagen valida]
[coordenadas inválidas] muestra mensaje validarCoordenadas(coordenadas)
resultado
[coordenadas validas]
Ejecutar operación
sensible
12
2. Crear Tarjeta de Coordenadas
Este caso de uso permite la creación de una tarjeta de coordenadas asignada al usuario de Home
Banking al momento en que este realice la solicitud.
Secuencia:
Paso 9: Si el cliente no posee impresora, el sistema debe emitir un mensaje indicándole que no puede
13
continuar la operación.
Diagrama de Interacción:
preguntaDesafio(ci)
Se solicita la consultarPregunta(ci)
respuesta de
la Pregunta de pregunta
seguridad y el pregunta
codigo CVC2
respuesta + CVC2
validarRespuestas(resp,cvc)
validarRespuesta(resp)
respuesta
CVC válido
tarjeta
imagenes
imagenes
Imagen seleccionada
asociarImagen(usuario,img)
asociarImagen(usuario,img)
poseeImpresora()
[Posee impresora]
crearTarjeta(usuario)
crearTarjeta(usuario)
éxito
Tarjeta
imprimirTarjeta()
14
En el caso de Usuarios Jurídicos Master:
Secuencia:
Paso 9: Si el cliente no posee impresora, el sistema debe emitir un mensaje indicándole que no puede
continuar la operación.
15
Diagrama de Interacción:
respuestas
validarRespuestas(resp1, resp2)
validarRespuesta(resp1)
respuesta
[Respuasta Valida
[Respuesta invalida] error() y CVV2] validarCvs(cvc)
CVC válido
tarjeta
imagenes
imagenes
Imagen seleccionada
asociarImagen(usuario,img)
asociarImagen(usuario,img)
poseeImpresora()
[Posee impresora]
crearTarjeta(usuario)
crearTarjeta(usuario)
éxito
Tarjeta
imprimirTarjeta()
16
3. Asociar Tarjeta de Coordenadas a Usuario Jurídico Sub-Master
Permite al Usuario Jurídico Master asignar tarjetas de coordenadas a los usuarios Jurídicos Sub Masters
asociados a su empresa.
Secuencia:
Paso 8: Si el cliente no posee impresora, el sistema debe emitir un mensaje indicándole que no puede
continuar la operación.
17
Diagrama de Interacción:
18
4. Activar Tarjeta de Coordenadas
Para el uso de la tarjeta de coordinas en el sistema de Home Banking, el usuario deberá realizar la
activación de la misma a través del Call Center del banco.
Secuencia:
1. Este caso de uso comienza cuando el usuario de Home Banking llama al Call Center o al IVR para
activar su tarjeta de coordenadas.
2. El sistema solicita el serial de la tarjeta, cédula y/o Rif del usuario.
3. El cliente suministra los datos solicitados.
4. El sistema valida que el serial de la tarjeta corresponde con el usuario.
5. El sistema solicita una pregunta de confirmación de identidad.
6. El usuario responde a la pregunta.
7. El sistema activa la tarjeta de coordenadas cambiando el estatus a “Current” en la Base de Datos de
Home Banking y en IDG.
Curso Alterno:
Paso 4: Si el Sistema detecta que la tarjeta no pertenece al cliente emitirá un mensaje de error.
Paso 3: En caso de que la pregunta de confirmación de identidad sea respondida 2 veces consecutiva de
forma incorrecta, el sistema deberá enviar un alerta indicando que al tercer intento será bloqueada la
tarjeta de coordenadas. La tarjeta de coordenadas y el usuario de Home Banking serán bloqueados al
tercer intento consecutivo el mismo día o al quinto intento fallido en uno o más días.
19
Diagrama de Interacción:
20
5. Desactivar Tarjeta por Eliminación de Usuario (Clientes Jurídicos)
Este caso de uso permite la desactivación de una tarjeta de coordenadas asociada a un usuario jurídico
Sub Master al momento de su eliminación del sistema.
Secuencia:
21
Diagrama de Interacción:
El sistema de Home Banking deberá proveer una funcionalidad para los clientas naturales y jurídicos, a
fin de que puedan “bloquear definitivamente” la tarjeta de coordenadas por extravío o robo.
Secuencia:
22
6. El sistema actualiza el status de la tarjeta en IDG y BD de Home Banking a “Canceled”.
Curso alterno:
Paso 4: Si la respuesta es incorrecta tres veces consecutivas el mismo día, el usuario Home Banking
quedará bloqueado por seguridad y deberá seguir el procedimiento establecido para su activación.
Diagrama de Interacción:
Bloquear Tarjeta
Pregunta desafío
Exito
[respuesta correcta]
solicitarConfirmación()
Aceptar
bloquearTarjeta(usuario)
Bloquear Tarjeta(Usuario)
Exito
Bloquear Tarjeta(Usuario)
Exito Exito
23
7. Activar/Desactivar Solicitud del Token
El sistema de Home Banking debe proveer al administrador del sistema, la posibilidad de activar o
desactivar la solicitud de la tarjeta de coordenadas para la realización de operaciones sensibles, en caso
de condiciones de contingencias con el sistema IDG. Bajo esta condición el sistema Home Banking
solicitará en las transacciones sensibles únicamente las preguntas y respuestas desafío. El parámetro de
activación o desactivación de la solicitud de la tarjeta de coordenadas deberá estar ubicado dentro de los
parámetros de seguridad del Home Banking en el módulo administrativo.
En caso de que la opción de token sea desactivada, no se podrán realizar nuevas afiliaciones de cuentas
a través del Home Banking, por lo que la opción será bloqueada durante la contingencia.
Secuencia:
1. El usuario ingresa a la opción de parámetros de seguridad del Home Banking y selecciona la opción
de activar o desactivar solicitud de tarjeta de coordenadas.
2. El sistema actualiza el parámetro.
Curso Alterno:
Diagrama de Interacción:
24
8. Suspender/Bloquear Tarjeta de Coordenadas (Call Center)
Cuando un cliente Natural o Jurídico solicite el bloqueo definitivo del usuario de banca por Internet por
pérdida o extravío de la tarjeta de débito o crédito, la tarjeta de coordenadas asociada debe ser
bloqueada en el Identity Guard y en el Sistema de Administración de Tarjetas.
Secuencia:
1. Este caso de uso comienza cuando el usuario de Call Center bloquea definitivamente el usuario de
banca por Internet de un cliente natural o jurídico, por robo o extravío de TDD o TDC.
2. El sistema recupera la información de la tarjeta de coordenadas del cliente desde la Base de Datos
de Home Banking y cambia su status a “Canceled” en Base de Datos y en el IDG, salvando además
el registro de bitácora correspondiente.
Diagrama de Interacción:
Suspender/Eliminar Usuario HB
Bloquear Usuario(Usuario)
Exito
Exito
Exito Usuario HB Bloqueado Exito
Registrar en bitacora
Bitacora registrada
25
3.- Diagrama de Estados
26
4.- Modelo de Datos:
status_tarjeta
Por Definir, a
espera de analizar id_status INT <pk>
BD de Home nombre_status VARCHAR(30)
Banking descripcion_status VARCHAR(30)
Bitacora
imagenes
id_bitacora INT
id_imagen INT <pk>
fecha DAT E
imagen BLOB
descripcion VARCHAR(30)
tipo_error VARCHAR(30)
usua_id VARCHAR(30) FK_id_status
FK_id_imagen
FK_usua_id
usuario
usua_id VARCHAR(30) <pk> FK_usua_id tarjeta_coordenadas
usua_contraseña VARCHAR(30) usua_id VARCHAR(30) <pk,fk1>
id_imagen INT <fk3>
serial_tarjeta VARCHAR(30)
id_status INT <fk2>
FK_usua_id
caracteristicas_pc
id_caracteristicas VARCHAR(30) <pk>
serial_navegador VARCHAR(30) Physical Data Model
serial_pc VARCHAR(30) Model: Token_HB
ip_maquina VARCHAR(30) Package:
usua_id VARCHAR(30) <fk> Diagram: Entidad_Relacion
Author: Proyecto token
Version: 1.0
27
Descripción de tablas y atributos:
28
5. TARJETA_COORDENADAS: Tabla que almena la información de las tarjetas.
6. BITACORA: Tabla que almacena la información de las operaciones realizadas sobre las tarjetas de
coordenadas:
29
ANEXO I – Mapa de Navegación
Administración para el inventario de tarjetas de coordenadas y manejo de clientes en el Sistema de Administración Home Banking
30
Home Banking:
31