Pós-Graduação

Certificate in Business Administration IT

GOVERNANÇA DE TI APLICADA À SOLUÇÃO DE

SERVIÇOS NFC
Alunos: Marcos Rodrigues da Silva
Orientador: João Bonnassis

“O que contamina o homem não é o que ele come, mas sim o que ele fala.”
Jesus Cristo

Rio de Janeiro, Janeiro de 2013

 2

Sumário
DEDICATÓRIAS .................................................................................................................................................. 3
AGRADECIMENTOS .......................................................................................................................................... 4
GLOSSÁRIO ......................................................................................................................................................... 5
Electromagnetic interference................................................................................................................................ 6
RESUMO ............................................................................................................................................................. 11
1 A CONVERGÊNCIA DAS TECNOLOGIAS COM NFC............................................................................ 16
2 A TECNOLOGIA NFC ................................................................................................................................... 18
3 NFC E A CONVERGÊNCIA DAS TECNOLOGIAS................................................................................... 21
4 UM NOVO PADRÃO MUNDIAL .................................................................................................................. 22
4.1 A GLOBALIZAÇÃO E A INTEROPERABILIDADE DO NFC ......................................................... 24
4.1.1 EMV ................................................................................................................................................... 24
4.1.2 ETSI ................................................................................................................................................... 25
4.1.3 GLOBALPLATFORM ..................................................................................................................... 27
4.1.4 GSMA ................................................................................................................................................ 28
4.1.5 A ISO.................................................................................................................................................. 28
4.1.6 O NFC FORUM ................................................................................................................................ 30
4.1.7 PCI - INDÚSTRIA DE CARTÕES DE PAGAMENTO ............................................................... 32
4.1.8 O FIPS................................................................................................................................................ 32
4.1.9 O Common Criteria .......................................................................................................................... 33
4.1.10 MIFARE4MOBILE ........................................................................................................................ 34
5 COMPREENDENDO O ECOSSISTEMA NFC ........................................................................................... 36
5.1 OS CONCEITOS APLICADOS NA TECNOLOGIA ........................................................................... 37
5.1.1 DOMÍNIOS DE SEGURANÇA ............................................................................................................ 37
5.1.2 APLICAÇÕES ........................................................................................................................................ 42
5.1.3 GESTOR CONFIÁVEL DE SERVIÇO ............................................................................................... 44
5.2 PLATAFORMA OTA ............................................................................................................................... 48
6 COMPONENTES DA TECNOLOGIA NFC ................................................................................................ 49
6.1 O MICROCONTROLADOR NFC .......................................................................................................... 50
6.2 O ELEMENTO SEGURO ........................................................................................................................ 51
6.2.1 INTEGRADO AO SIMCARD DA OPERADORA ............................................................................. 54
6.2.2 INTEGRADO A PLACA MÃE DO DISPOSITIVO MÓVEL ........................................................... 55
6.2.3 INTEGRADO AO CARTÃO DE MEMÓRIA MICRO-SD OU ACESSÓRIO PARA IPHONE ... 57
6.3 O DISPOSITIVO MÓVEL ....................................................................................................................... 59
6.4 AMBIENTE JAVA E AMBIENTE J2ME .............................................................................................. 61
6.5 PROCESSO DA COMUNIDADE JAVA ................................................................................................ 63
7 A GOVERNANÇA DE TI APLICADA ......................................................................................................... 64
7.1 PROCESSOS COBIT 4.1.......................................................................................................................... 64
7.1.1 APLICANDO COBIT – VIA MAPEAMENTO DE PROCESSOS ................................................... 71
7.1.2 APLICANDO COBIT – VIA OBJETIVOS DE TI X PROCESSOS DE TI ..................................... 75
7.1.2 APLICANDO COBIT – VIA QUADRO DE PROCESSOS BSC ...................................................... 75
8 CONCLUSÃO .................................................................................................................................................. 76
REFERÊNCIAS .................................................................................................................................................. 78
 3

DEDICATÓRIAS

Dedico este trabalho a minha morena doce, Claudia, que ao longo desses 25 anos de convívio
diário, me ensinou o significado da palavra “amor”. Minha linda eu te amo.
Aos meus filhos, Rafael e Paulo, como herança do Senhor para minha vida, foram a fonte de
inspiração para que eu conseguisse essa vitória.

Marcos Rodrigues da Silva

 4

AGRADECIMENTOS

Agradeço a DEUS, minha sustentação e a rocha sobre a qual procuro fundamentar a minha
vida. Agradeço aos professores da Pós-graduação do Infnet pelo constante incentivo e atenção a
mim prestada, em especial ao coordenador do curso o Prof. Paulo Tostes pelo apoio e
compreensão no encaminhamento das minhas demandas.

Marcos Rodrigues da Silva

 5

GLOSSÁRIO
Sigla Descritivo
3G Third generation of mobile telecommunications technology
Redes de telecomunicações 3G suportam serviços que proporcionam uma taxa de pelo menos 200 kbit / s,
na transferência de informação. No entanto, muitos serviços anunciados como 3G fornecem velocidade
maior do que os requisitos técnicos mínimos para um serviço de 3G.
3GPP Third Generation Partnership Project
É a colaboração entre grupos de associações de telecomunicações, conhecidas como os parceiros
organizacionais. O escopo inicial do 3GPP era fazer uma especificação de terceira geração (3G) de um
sistema de telefonia móvel tendo como base o Projeto internacional GSM com o escopo definido na
International Telecommunications-2000 da União Internacional de Telecomunicações (ITU).
AEE Application Execution Environment
Um telefone celular NFC cumpre as funcionalidades da telefonia móvel, tais como chamadas de voz,
comunicação de pacotes, agenda, browser, mailer e assim por diante. Ele também fornece uma interface de
usuário para executar serviços de telefonia de forma interativa. Todas estas funcionalidades são usadas e
expandidas para realizar a entrega dos serviços NFC onde o ambiente de execução de aplicativos (AEE).
AEE suporta funcionalidades de processamento, de armazenamento de dadose e executa serviços de
telefonia móvel de uma forma relativamente segura, mas este nível de segurança pode não ser suficiente
para atender às necessidades de todos os prestadores de serviços de NFC.
AFI Applicatio Family Identifier
O Idenficador da Família da Aplicação indica o setor da indústria que um aplicativo sem contato pertence.
Este identificador pode ser usado para agrupar os aplicativos da mesma família por um processo semelhante,
como apresentando apenas uma família de aplicações para o usuário.
AID Application Identifier
É o indicador da aplicação específica dentro do espaço reservado de aplicações de um ambiente de cartão
microprocessado como cartão de banco, chip de telefonia celular ou no ES NFC.
ANATEL Agencia Nacional de Telecomunições do Brasil
A Agência Nacional de Telecomunicações (Anatel) é uma autarquia especial criada pela Lei Geral de
Telecomunicações (LGT) - Lei 9.472, de 16 de julho de 1997, administrativamente independente,
financeiramente autônoma e sem subordinação hierárquica a nenhum órgão de governo e tem por missão
promover o desenvolvimento das telecomunicações do País de modo a dotá-lo de uma moderna e eficiente
infra-estrutura de telecomunicações, capaz de oferecer à sociedade serviços adequados, diversificados e a
preços justos, em todo o território nacional.
ANSI American National Standards Institute
Organização privada, sem fins lucrativos, de origem Americana que tem por objetivo facilitar a
padronização dos trabalhos de seus membros.
APDU Application Protocol Data Unit
No contexto de cartões inteligentes microprocessados, uma APDU é a unidade de comunicação entre um
leitor de cartão inteligente e um cartão inteligente. A estrutura do APDU é definida pela norma ISO / IEC
7816-4, bem como a segurança e os comandos para o gerenciamento da comunicação.
API Application Program Interface
Definie um protocolo para ser usado como forma de comunicação entre componentes de software para troca
de informações uns com os outros. Uma API é uma biblioteca que pode incluir a especificação de rotinas,
estruturas de dados, classes de objetos e variáveis.
APPLET Em computação, um applet é qualquer aplicativo de pequeno porte que efetua uma tarefa específica no
âmbito de um programa maior, muitas vezes como uma função externa. Um applet normalmente se refere ao
mundo Java, ou seja, programas escritos na linguagem de programação Java que são incluídos na
composição da solução final para o ambiente da internet.
APSD Aplication Provider Secirity Domain
É o domínio de segurança do ES criado para a carga e gerenciamento das aplicações NFC. Somete pode
cria-lo o emissor do ES ou quem ele delegar porder para tal.
BIP Bearer Independent Protocol
É um protocolo independente de portador, qua amplia a velocidade de comunicação OTA do hardware do
celular com o SIMCard embarcado. O BIP possibilita a traferencia de dados em alta velocida de um telefone
com um canal como GPRS ou 3G para o SIMCard. Serviços como o gerenciamento remoto de arquivos
(RFM) ou Gerenciamento de Aplicativos remoto (RAM) será significativamente mais rápido através do BIP
e são, portanto, ideais para alto desempenho de administração de aplicações. Ex.: O carregamento ou
atualização de aplicações SIMCard ou ES NFC.
BSC Balance Scorecard
O balanced scorecard é uma ferramenta de gestão estratégica de desempenho - um relatório estruturado,
semi-padrão, apoiados por métodos de projeto e ferramentas de automação, que podem ser usados pelos
executivos para acompanhar o desempenho nas atividades de uma equipe sob seu controle e monitorar as
conseqüências decorrentes dessas ações.
BYOD Bring Your Own Device
Significa Traga seu próprio dispositivo, um conceito que esta crescendo face a proliferação de dispositivos
móveis que possuem capacidade de conexão com ou sem fio para acesso a redes corporativas ou mesmo a
 6
internet, levando esses usuários a fazerem uso dos mesmos de forma integrada com no ambiente de trabalho.
CA Controlling Autority
A Autoridade de Controle tem o privilégio de gerenciar o conteudo do cartão atraves do processo de
verificação da autenticidade de blocos da carga de dados dos arquivos, processo conhecido como DAP.
CASD Control Autority Security Domain
Domínio de Segurança do ES NFC com acesso restrito a requisições com perfil de CA.
CKLA Confidential Key Loading Authority
A Autoridade de carga de chaves confidenciais é que efetua a carga inicial no cartão de um conjunto de
chaves de segurança atraves de um caminho seguro.
CLF ContactLess Front-end
È o nome dado ao dispositivo microcontrolador da tecnologia NFC que atua como porta para a entrada e/ou
saída de informações das aplicações sem contato para o ambiente operacional do aparelho telefônico o qual
ele integra.
CMN Conselho Monetario Nacional
O Conselho Monetário Nacional é o órgão deliberativo máximo do Sistema Financeiro Nacional. Ao CMN
compete: estabelecer as diretrizes gerais das políticas monetária, cambial e creditícia; regular as condições
de constituição, funcionamento e fiscalização das instituições financeiras e disciplinar os instrumentos de
política monetária e cambial
COBIT Control Objectives for Information and related Technology
Guia de boas práticas apresentado como framework, dirigido para a gestão de tecnologia de informação
Mantido pelo ISACA , possui uma série de recursos que podem servir como um modelo de referência para
gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria,
ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.
COSO Committee of Sponsoring Organizations of the Treadway Commission
O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo
pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pela
cinco das principais associações de classe de profissionais ligados à área financeira nos EUA.
CPU Central Processing Unit
A unidade central de processamento ou CPU , também conhecido como processador, é a parte de um
sistema computacional, que realiza as instruções de um programa de computador, para executar a aritmética
básica, lógica, e a entradas e saída de dados.
DAP Data Authentication Pattern
Funcionalidade que permite efetuar validação de autenticidade para trasações em um ES NFC ou assinar de
forma eletrônica uma apicaçãio a carregada no ES NFC.
ECMA European Computer Manufacturers Association
Associação Europeia fundada em 1961 dedicada à padronização de sistemas de informação. Desde 1994
passou a se denominar Ecma International para refletir suas atividades internacionais. A associação é aberta
a companhias que produzem, comercializam ou desenvolvem sistemas de computação ou de comunicação
na Europa.
EEPROM Electrically-Erasable Programmable Read-Only Memory
EEPROM é uma memória eletrônica pode ser programada e apagada várias vezes, eletricamente. Pode ser
lida um número ilimitado de vezes, mas só pode ser apagada e programada um número limitado de vezes,
que variam entre as 100.000 e 1 milhão. Esse limite é causado pela contínua deterioração interna do chip
durante o processo de apagamento que requer uma tensão elétrica mais elevada.
EMC Electromagnetic compatibility
Ramo das ciências elétricas que estuda a geração não intencional, propagação e recepção de energia
eletromagnética, com referência aos efeitos indesejados que essa energia pode induzir.
EMI Electromagnetic interference
Distúrbio que afeta um circuito elétrico devido a qualquer indução eletromagnética ou radiação
eletromagnética emitida por uma fonte externa.
EMV Europay, MasterCard and Visa
Padrão global para a interoperabilidade de cartões de circuito integrado e ponto de venda terminais e caixas
automáticas, para autenticação de transações financeiras com cartões de crédito e débito.
EMVCo Esforço conjunto entre as empresas Europay, MasterCard e Visa para garantir a segurança e a
interoperabilidade, de modo a que cartões Visa e MasterCard possam ser aceitos em todos os lugares do
mundo. A Europay International SA foi absorvida pela MasterCard em 2002. A JCB (Japan Credit Bureau
anteriormente) juntou-se a organização em dezembro de 2004 e American Express ingressou em fevereiro
de 2009.
eNFC Embedded SE NFC
Circuito integrado com funcionalidades específicas spçtadas para manter um ambiente seguro similar aos
carões microprocessados que é integrado ao hardware do celular compondo o ambiente NFC.
ETSI European Telecommunications Standard Institute
Organização sem fins lucrativos e independente, voltada para a padronização na indústria de
telecomunicações (fabricantes de equipamentos e operadoras de rede) na Europa, com projeção mundial.
FELICA FeliCa é um cartão microprocessado sem contato da empresa Sony do Japão, usado principalmente em
cartões de moeda electrônica. Primeiro utilizada no sistema de cartão Octopus de Hong Kong a tecnologia é
usada em uma variedade de cartões também em países como Singapura, Japão e nos Estados Unidos
 7
FIFO First In, First Out
Primeiro que entra, primeiro que sai. É uma abstração relacionada a formas de organização e manipulação
de dados em relação ao tempo e priorização. Esta expressão descreve o princípio de uma técnica de
processamento de fila ou demandas conflitantes de serviço por processo de encomenda pelo primeiro a
chegar, primeiro a ser servido: onde as pessoas saem da fila na ordem em que chegam.
FIPS Federal Information Processing Standard
É uma padronização publica desenvolvida pelo governo federal dos Estados Unidos para uso em sistemas de
computador por todas as agências governamentais não militares e por empresas contratadas pelo governo,
quando devidamente utilizados e adaptados em um contrato. Muitos pronunciamentos FIPS são versões de
padrões utilizados nas comunidades técnicas, tais como o Instituto Nacional Americano de Padrões (ANSI),
o Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) e da Organização Internacional de Normalização
(ISO).
GP UICC Global Platform Universal Integrated Circuit Card
Padrão da GlobalPlatform para o cartão universal de circuito integrado que é o cartão inteligente utilizado
em terminais móveis em redes GSM e UMTS. O UICC garante a integridade e segurança de todos os tipos
de dados pessoais e normalmente tem algumas centenas de kilobytes.
GSM Global System for Mobile communications
É um conjunto padrão desenvolvido pelo Instituto Europeu de Normas de Telecomunicações (ETSI) para
descrever protocolos para geração de redes de celulares digitais (2G) usadas por telefones celulares. Tornou-
se o padrão global de fato para comunicações móveis, com mais de 80% do mercado de telefonia móvel.
GSMA GSM Association
É uma associação de operadoras de telefonia móvel, empresas relacionadas e dedicados a apoiar a
padronização, implementação e promoção do sistema de telefonia móvel GSM. A GSM Association foi
criada em 1995.
HCI Host Controller Interface
É uma interface de nível de registo que permite a um controlador de host (Ex: hardware USB) se comunicar
com um driver controlador hospedado em software. O software do controlador é normalmente fornecido
com um sistema operacional de um computador pessoal, mas pode também ser implementado por meio de
dispositivos específicos de aplicação, tais como um microcontrolador.
HD Higth Definition
Termo que define a qualidade em termos de quentidade de pontos que forma uma imagem em um
dispositico como maquina fotográfica, filmadoras, televisões, monitores de imagens.
HTTP Hypertext Transfer Protocol
Protocolo de Transferência de Hipertexto - é um protocolo de comunicação (na camada de aplicação
segundo o Modelo OSI) utilizado para sistemas de informação de hipermedia distribuídos e colaborativos.
Seu uso para a obtenção de recursos interligados levou ao estabelecimento darede mundial internet.
ICC Integrated circuit card
É qualquer cartão de bolso que contem circuitos integrados embutido em sua estrutura fisica. Os cartões
inteligentes são feito, geralmente plástico e possuem considerável capacidade de processamento e espaço de
memória não volátil.
IEC International Electrotechnical Commission
É uma organização privada sem fins lucrativos, que prepara e publica padrões internacionais para todas as
áreas de tecnologias elétricas, eletrônicas e afins - conhecidos coletivamente como "eletrotécnica". Os
padrões IEC cobrem uma vasta gama de tecnologias como: geração de energia, transmissão e distribuição de
eletrodomésticos e equipamentos de escritório, semicondutores, fibra ótica, baterias, energia solar,
nanotecnologia e energia marinha, bem como muitos outros. O IEC também gerencia três sistemas de
avaliação da conformidade globais que certificam se o equipamento, sistema ou componentes estão em
conformidade com suas normas internacionais.
IP Internet Protocol
É o protocolo de comunicações principal na suíte de protocolos em uso pela rede mundial Internet para
datagramas transmitindo através das fronteiras da rede. Sua função de roteamento permite o
"internetworking" e essencialmente estabelece a Internet.
IPR Intellectual Property Rights
Conceito jurídico que se refere às criações intelectuais de uma pessoa para os quais são reconhecidos
direitos exclusivos sob a lei de propriedade intelectual. Aos proprietários são concedidos determinados
direitos exclusivos para uma variedade de ativos intangíveis, tais como obras musicais, literárias e artísticas;
descobertas e invenções, e palavras, frases, símbolos e desenhos.
ISACA Information Systems Audit and Control Association
Associação profissional internacional focada em Governança de TI e um membro afiliado da IFAC.
Anteriormente conhecido como o Sistema de Auditoria e Informações Control Association, ISACA agora
vai por sua sigla só, para refletir a ampla gama de opiniões e experiencia de profissionais de governança de
TI.
ISD Issuer Security Domain
Emissor do domínio de segurança NFC é o agente que detem o poder sobre toda a estrutura física do
ambiente seguro do NFC, sendo ele o senhor maior e quem define a utilização dos recursos disponíveis na
tecnologia.
ISG Industry Specification Groups do ETSI
Grupo de trabalho que atua dentro do ESTI com o objetivo de elaborar normas e especificações dentro da
áred de foco do grupo, atualemente existem treze grupos distintos.
 8
ISO International Organization for Standardization
Ôrgão normatizador internacional composto por representantes de diversas organizações nacionais de
normalização. Fundada em 23 de Fevereiro de 1947, a organização promove padrões mundiais de
propriedade, industrial e comercial. Tem a sua sede em Genebra, na Suíça.
J2ME Java Platform, Micro Edition
Plataforma Java projetada para sistemas embarcados (dispositivos móveis são um tipo de tais sistemas).
Dispositivos de destino variam de controles industriais para telefones celulares (especialmente feature
phones) e caixa de configuração.
JSR Java Specification Requests
São os documentos formais que descrevem as especificações propostas de tecnologias para a adição a
plataforma Java. Comentários públicos formais de JSRs ocorrer antes de uma JSR se torne final até seu
parecer final com os votos de membros do Comitê Executivo JCP sobre ela. A JSR final fornece uma
implementação de referência que é uma implementação livre da tecnologia na forma de código fonte e um
Kit de Compatibilidade de Tecnologia para validação da API especificada.
KGI Key Goal Indicators
Indicadores que permitem medir em que grau os novos processos implementados responderam aos
requisitos de negócio.
KPI Key Performance Indicator
KPIs são utilizados para avaliar o sucesso, ou para avaliar o sucesso de uma determinada atividade em que
está envolvido. Ás vezes, o sucesso é definido em termos de fazer progresso em direção às metas
estratégicas, mas muitas vezes o sucesso é simplesmente a, realização periódica repetida de algum nível de
meta operacional (por exemplo, zero defeitos, 10/10, a satisfação do cliente, etc.) Assim, a escolha do KPIs
correto depende de um bom entendimento do que é importante para a organização.
LLCP Logical Link Control Protocol
O protocolo de controle de link logico fornece os meios processuais para a transferência de unidades de
informação da camada superior entre dois dispositivos NFC.
LSA Laboratório de Sistemas Abertos
Atua no desenvolvimento de Arquiteturas de Sistemas de Informação nas seguintes áreas de negócios:
Bancária, Comercial, Negócios, Telecomunicações, Manufatura e de Processos,Energia e Predial.
Desenvolvimento de Sistemas Distribuídos e Abertos, Aplicações de Objetos Distribuídos e Automação de
Projetos de Sistemas.
MIFARE Cartão mocriprocessado sem contato
Mifare é uma marca de propriedade da Philips criadora da tecnologia deste microprocessador, mundialmente
utilizado em sistemas de transporte e controle de acesso.
MMU Memory management unit
Componente de hardware de computador responsável pelo tratamento de acessos de memória requerido pela
CPU. Suas funções incluem a tradução de endereços virtuais para endereços físicos, proteção de memória,
controle de cache e arbitragem de barramento.
MNO Mobile network operator
Operador de rede de telefonia móvel, mais conhecido por operadora de celular.
NDEF NFC Data Exchange Format
A especificação NFC Data Exchange Format define um formato de encapsulamento de mensagens para
troca de informações, por exemplo, entre dispositivos NFC.
NFC Near Field Communication
Padrão de comunicação de campo próximo derivado da tecnologia de cartão sem contato e integrável em
dispositivos eletrônicos como telefones móveis, tablets, notebooks, televisores, etc.
NIST National Institute of Standards and Technology
O Instituto Nacional de Padrões e Tecnologia - conhecido entre 1901 a 1988, como o National Bureau of
Standards (NBS) - é um laboratório de normas e padrões , também conhecido como Instituto Nacional de
Metrologia (NMI) e é um orgão do Departamento de Comércio dos Estados Unidos.
NYSE New York Stock Exchange
Bolsa de valores de Nova York localizada Manhattan. É a maior bolsa de valores do mundo em termos de
volume financeiro do mercado de capital com suas empresas listadas que somam US$ 16.613 trilhões de
dólares (maio 2013).
OSI Open Systems Interconnection
Sistema aberto de interconexção criado 1977 para padronizar os meios de acesso as rede de computadores,
permitindo a operação em qualquer equipemento de forma mais simples e direta.
OTA Over The Air
Qualquer método de fazer a transferência de dados sem fios ou transações utilizando a rede celular, em vez
de um cabo ou outro meio de ligação.
PA-DSS Payment Application Data Security Standard
Padrão global de segurança criado pelo Conselho de padrões de Segurança da Industria de cartões. PA-DSS
foi desenvolvido para fornecer padrão de dados definitivos para fornecedores de software que desenvolvem
aplicativos de pagamento. A norma tem como objetivo impedir que aplicativos de pagamento desenvolvidos
para proibie terceiros de armazenarem dados confidenciais. Nesse processo, a norma também determina que
os fornecedores de software desenvolvam aplicativos de pagamento que sejam compatíveis com o Payment
Card Industry Security Standards Dados.
PCI Payment Cards Industry
Indústria de serviços financeiros de pagamentos por cartões de crédito e débito, composta pelas empresas
 9
American Express, Discover Financial Services, JCB, MasterCard Worldwide and Visa International.
PCI-DSS Payment Card Industry Data Security Standard
Padrão definido e aplicado no ecosistema de pagamentos por cartões visando da segurança a todo o ciclo de
transações financeiras por meio de cartão microprocessado desde o pagamento até a sua liquidação final.
PIN Personal identification number
Senha numérica secreta compartilhada entre um usuário e um sistema que pode ser usada para autenticar o
usuário para o mesmo.
PKI Public-key infrastructure
Conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar, gerenciar,
distribuir, utilizar, armazenar e revogar certificados digitais.
POS Point of sale
Local onde uma transação de varejo é concluída. É o ponto em que um cliente faz um pagamento a um
comerciante em troca de bens ou serviços.
PPSE Proximity Payment System Environment
Ambiente de hardware e software que complementam o sistema de pagamentos por proximidade.
RAM Read Acess Memory
Forma de armazenagem de informações em um componente eletrônico. Um dispositivo de acesso aleatório
permite que os dados armazenados sejam acessados diretamente em qualquer ordem aleatória. Em contraste,
outros meios de armazenamento de dados, como discos rígidos, CDs, DVDs e fitas magnéticas.
RF Radio Frequency
Taxa de oscilação em um intervalo que vai de 3 kHz a 300 GHz, correspondente à frequência das ondas de
rádio, e as correntes alternadas que transportam os sinais de rádio. A RF geralmente se refere a tema da
eletricidade em vez das oscilações mecânicas, no entanto, não existem sistemas RF mecânicos.
RFID Radio Frequency Identification
Uso de campos eletromagnéticos de radiofrequência para transferir dados sem contato fisico (ou sem fio),
para fins de identificação automática e rastreamento de marcas associadas a objetos. As etiquetas contêm
informações armazenadas eletronicamente. Algumas marcas são alimentados e ler a distâncias curtas
(poucos metros), através de campos magnéticos (indução eletromagnética).
ROM Read Oly Memory
Tipo de armazenamento usado em computadores e outros dispositivos eletrônicos. Os dados armazenados na
ROM não podem ser alterados ou podem ser modificados de forma lenta ou com dificuldade, de modo que é
utilizado principalmente para distribuir firmware (software que está muito intimamente ligada a um
hardware específico) e que provavelmente não necessita frequentes actualizações.
RSA RSA Security Inc.
Empresa americana que atua na área de segurança de rede. RSA foi nomeada após as iniciais de seus
cofundadores, Ron Rivest, Adi Shamir e Len Adleman, criadores do algoritmo de criptografia de chave
pública RSA que também recebeu o mesmo nome.
RTD Record Type Definition
Padrão do NFC Forum para a criação e uso de tipos de registros de informações a serem utilizados pelo
NDEF na criação de mensagens trocadas entre dois dispositivos NFC que são transmitidos pelo protocolo
SNEP.
SCP Secure Channel Protocol
Protoclo de canal seguro - forma de transferência de dados que seja resistente à escuta e adulteração. Este
protocolo permite que duas partes possam gerar uma chave conhecida apenas por eles, sob o pressuposto de
que um determinado problema de cálculo é computacionalmente inviável (isto é, muito forte) de resolver e
assim poder ouvir a conversae que a duas partes têm acesso.
SCQL Smart Card Query Language
Linguagem de consulta a dados registrados em um ambiente de hw e sw de cartão microprocessado.
SCWS Smart Card Web Server
Criado pela Open Mobile Alliance (OMA) é um padrão que define um servidor HTTP embutido em um chip
destinado a um usuário de smartphone.
SD Security Domain
Domínio de segurança é um porção de memória de um cartão microprocessado criadas por meio de canal
seguro e protegida por hw e sw onde pode ser armazedado informações confidenciais.
SIMCard Subscriber Identity Module
É um cartão microprocessado desenvolvido e padronizado para uso por operadoras de telefonia móvel como
autenticador de assinante entre outras funcionalidades.
SIM-NFC Subscriber Identity Module with ES NFC
É um cartão microprocessado desenvolvido e padronizado para uso por operadoras de telefonia móvel como
autenticador de assinante entre outras funcionalidades, integrado funcional e fisicamente com o
microcontrolado NFC, tamném conhecido como Elemento Seguro.
SMS Short Message Service
Componente serviço de mensagens de texto para telefone, web ou sistemas de comunicações móveis,
usando protocolos de comunicação padronizados que permitem a troca de mensagens curtas de texto entre
dispositivos de telefonia.
SNEP Simple NDEF Exchange Protocol
Protocolo de comunicação sem fio utilizado para a troca de mensagens no padrão NDEF entre dois
dispositivos NFC.
 10
SP Service Provider
Provedor de Serviços é o agente que atua na criação e manutenção de serviços que utilizam a tenologia
NFC.
SSD Suplementary Security Domain
Domínio de segurança de um ES NFC que, uma ves criado pelo emissor do ES pode armazeram
informações de aplicativos NFC para uso do usuário do celular.
SWP Single Wire Protocol
Especificação para a conexão por um único fio entre o cartão SIM e um campo de comunicação próximo
(NFC) em um chip de telefone celular. Ele está atualmente sob revisão final pelo Instituto Europeu de
Normas de Telecomunicações (ETSI),
TEE Trusted Execution Environment
Ambiente de execução segura define o local em um ES NFC onde as aplicações spodem ser executas sob a
cobertura de um ambiente seguro definido pela arquitetura NFC.
TSM Trusted Service Management
Gestor confiável de serviço é o agente que reúne a confiança do integrantes do ecossistema NFC
possibilitando a ele a execução de serviços que atuam sobre informações sigilosas.
UART Universal Asynchronous Receiver/Transmitter
Componente de hardware de dispositivos eleltrônicos que converte os dados entre formas seriais e paralelas.
UICC Universal Integrated Circuit Card
O Cartão universal de circuito integrado é o cartão inteligente utilizado em terminais móveis em redes GSM
e UMTS. O UICC garante a integridade e segurança de todos os tipos de dados pessoais e normalmente tem
algumas centenas de kilobytes.
WIB Wireless Internet Browser
Navegador para internet projetado para uso em um dispositivo móvel como um telefone celular ou um
tablet.
XML Extensible Markup Language
Linguagem de marcação que define um conjunto de regras para a codificação de documentos em um
formato que seja legível e legível por máquina. É definida na especificação de XML 1.0, produzida pelo
W3C e várias outras especificações relacionadas, todas as normas abertas grátis.
 11

RESUMO
A vida moderna tem sido a testemunha ocular de uma revolução nos hábitos pessoais
em relação a dependência individual de tecnologia. Para confirmarmos isso basta que
observemos ao nosso redor o crescimento de telefones celulares, principalmente os modelos
com recursos mais sofisticados com acesso a internet, serviços de acesso a redes sociais, entre
outros tantos que são lançados diariamente.
Essa dependência tecnológica tem o seu lado positivo marcante, pois proporciona uma
melhoria na qualidade geral dos serviços das instituições privadas ou públicas como podemos
ver no noticiário recente:
A Secretaria da Receita Federal anunciou nesta segunda-feira (1º) a liberação
de preenchimento e entrega da declaração do Imposto de Renda da Pessoa
Física (IRPF) por meio de tablets e smartphones.
O aplicativo da Receita está disponível apenas para aparelhos com sistema
operacional Android e iOS (Apple) e já pode ser baixado nas lojas virtuais
google.play e App Store, respectivamente.
Para os usuários de iPhone e iPad o programa, por enquanto, está disponível
apenas na seção da loja da Apple que trata de aplicativos para celular. Ali,
basta fazer uma busca por “Receita Federal” e clicar no aplicativo “Pessoa
Física”. Para fazer a declaração, clique, dentro do aplicativo, no ícone "m-
IRPF".
http://g1.globo.com/economia/imposto-de-
renda/2013/noticia/2013/04/receita-oferece-aplicativo-para-preencher-ir-
tablete-e-celular.html
Acessado em 09/04/2013 as 08:00

Observando os números do setor de telefonia móvel tanto do Brasil como no mundo,

vemos que estamos de fato diante de uma transformação dos hábitos de vida dos cidadãos do
mundo moderno, sem precedentes na história.
Nos números do Brasil (ver quadros abaixo) observamos um crescimento de mais de
100% entre os anos de 2007 e 2011, sendo um crescimento de mais de 16% só de 2010 para
2011 segundo dados da ANATEL.

Evolução do acesso Móvel Celular no Brasil

INDICADORES UNIDADE 2007 2008 2009 2010 2011
SERVIÇO MÓVEL
Acesso Móvel Celular Mil - - - - -
Acesso Móvel Pessoal (SMP) Milhões 120,9 150,6 173,9 202,9 242,2
Acesso / 100
Densidade Acesso Móvel Pessoal 63,6 78,1 90,5 104,7 123,9
habitantes
SERVIÇO MÓVEL ESPECIALIZADO
Acesso Móvel Especializado (SME)1 Mil 1.330,5 1.844,3 2.508,3 3.337,1 4.133,0
Acesso / 100
Densidade Acesso Móvel Especializado³ 2,6 3,5 4,6 6,1 7,4
habitantes
2 - Dados alterados, em 2009, devido à revisão de sistema
3 - Dados calculados com base na população de municípios atendidos por SME

Figura 01: Ranking Mundial de Telefonia Móvel

Fonte: www.anatel.gov.br acessado em Janeiro de 2013

No cenário mundial, com exceção do Japão, vemos um crescimento acima de 5%

aplicado aos sete maiores países do mundo no setor, destacando-se a 5ª posição do Brasil
nesse mercado.
 12

Ranking Mundial de Telefonia Móvel

Ranking País 2006 2007 2008 2009 2010 2011 ∆Ano
1 China 461 547 641 747 859 985 14,7%

2 Índia 149* 234* 347* 525 752 894 18,8%

3 EUA 233 255 270** 286 302 332 6,6%

4 Indonésia - - 141 159 220*** 237*** 7,6%

5 Brasil 100 121 152 174 203 242 19,4%

6 Rússia 152 173 188 208 215 228 5,9%

7 Japão 101 105 110 115 121 126 4,4%

* inclui WLL; ** Estimado pelo Teleco. ***Fonte UIT - Nota: Valores em Milhões.

Figura 02: Ranking Mundial de Telefonia Móvel

Fonte: http://www.teleco.com.br/pais/celular.asp acessado em Janeiro de 2013

O cenário futuro que nos é apresentado por essa evolução fica a cada dia mais claro,
pois a demanda de serviços e soluções baseadas em tecnologia móvel se tornam a cada dia
mais presentes, como podemos ler no artigo publicado em 28/03/2012 no site de tecnologia
IDGNOW por João Moretti Diretor geral da MobilePeople, empresa especializada em
soluções móveis corporativas:
O Governo Federal, através de um projeto de lei que deve ser enviado ao
congresso ainda este ano, estuda regulamentar o sistema de pagamentos pelo
celular no Brasil. A iniciativa tem como prioridade tornar o mobile payment
acessível a celulares comuns usando o número de telefone para realizar
pagamentos de baixo valor e confirmando as operações via SMS, já que os
smartphones na prática possuem acesso aos serviços bancários pela Internet.
O objetivo do governo não é permitir que as operadoras de telefonia realizem
operações de crédito e sim oferecer mais opções ao usuário, principalmente
em regiões onde o acesso a bancos é mais difícil. A ideia é boa e possibilita a
democratização do mobile payment. Mas caso o projeto seja aprovado, essas
transações por SMS ainda devem passar por estudos, pois o nível de
segurança no envio de dados confidenciais como senhas de banco e dados de
contas através de mensagens de texto ainda é bastante arriscado.
Outra opção, que é mais segura, é o pagamento por proximidade. O
estabelecimento conta com um dispositivo, uma espécie de leitor, no qual é
necessário que o usuário tenha um celular com um chip e antena para
armazenar seus dados de conta realizando a comunicação com esse
dispositivo. Alguns fabricantes já lançaram aparelhos com essa tecnologia,
chamada Near Field Communication (NFC), em tradução livre, algo como
perto do campo de comunicação, mas ainda não há previsão de
disponibilidade no mercado nacional. Existem também outras tecnologias
que podem ser embarcadas nos aparelhos já existentes, que os tornam aptos a
realizar esse tipo de transação também.
A diferença entre essas duas formas de pagamento é a comodidade. Com o
pagamento remoto, o consumidor não precisa estar exatamente no local onde
a transação está sendo realizada. Porém, o nível de segurança é relativamente
maior do que o envio de mensagens de texto.
O mobile payment visa mudar o perfil tradicional dos clientes bancários no
Brasil, e o cenário atual é de expectativa. Resta saber se o país estará
preparado para aderir a esse novo modelo de pagamento, já que se trata de
uma estratégia que envolve riscos e barreiras de segurança que devem ser
 13
aperfeiçoadas e também barreiras tributárias que não podemos esquecer de
mencionar nesse artigo.
É um processo novo, que precisa ser bem estruturado para dar certo, com
uma base de operações sólidas, onde bancos, operadoras e empresas de cartão
de crédito devem se unir para construir um formato de negociação tão bem
projetado como os pagamentos com cartões de crédito e débito. Ainda é um
momento de indefinições e devemos aguardar as novidades, mas certamente
em breve fará parte do nosso dia a dia.
Fonte: http://idgnow.uol.com.br/blog/plural/2012/03/28/mobile-payment-quando-sera-que-vai-pegar-no-brasil/
Acessado em Janeiro de 2013

Observando-se o atual cenário onde a tecnologia avança com suas soluções de

mobilidade e alta conectividade, com a proliferação de dispositivos móveis cada vez mais
potentes, que são os responsáveis por demandas crescentes de ambientes de TI, sempre mais
robustos, confiáveis e com capacidade para dar suporte aos serviços que são disponibilizados
diariamente por companhias dos mais variados setores da economia. Isso fica patente quando
nos deparamos com a última versão do padrão mundial aplicado a governança de tecnologia
da informação, COBIT 5, que tem as diretrizes para o enfrentamento dos desafios, que
segundo o ISACA, organismo gestor responsável pelo padrão, que tem sua fundamentação
apoiadas nos princípios:

 Indentificar as necessidades das partes interessadas

 Dar atendimento integral da empresa
 Aplicar um padrão único e integrado
 Ter uma aboradagem hoslistica
 Manter separação entre gestão e governo

No contexto desses princípios, o ISACA que aponta em um dos seus documentos, que
titula como “Extraindo valor do Caos de Informações” seis pontos que destacamos abaixo:
 Dispositivos móveis
O ISACA informa que 6 em cada 10 empregados com idade entre 18 a 35 anos
usam dispositivos móveis pessoais no trabalho, conceito definido pelo
acrônimo BYOD (Bring your own device), trazer seu próprio dispositivo. A
previsão de 20 bilhões de unidades em 2020.
 Riscos com Redes Sociais
Duas em cada 3 empresas correm riscos com o incidentes em redes sociais.
 Proliferação de Dados
Um trabalhador corporativo envia e recebe por dia, em média, 112 correios
eletrônicos. Trabalhadores recebem por ano 3 terabytes de informações.
Servidores de todo o mundo processam anualmente 9.6 milhões de petabytes
de informações relacionadas a negócios.
 Regulamentação de privacidade
No mundo existem 65 nações que possuem suas próprias leis que
regulamentam a privacidade e propriedade de informações.
 Tempo de Inatividade
O custo médio por minuto da ausência de um serviço de TI gira em torno de
US$ 5.000, sendo que em 2011 o custo total de inatividade de serviços girou
em torno de US$ 380 bilhões.
 Brechas de Segurança
O custo envolvendo crimes eletrônicos gira em torno de US$ 1 trilhão por ano,
sendo que em 2012 foram identificadas 75 milhões de amostras de malware.
 14
Seguindo a proposta de trabalho apresentada pelo padrão de melhores praticas de
governança de TI COBIT 5, onde nos são apresentadas as sete categorias de facilitadores para
uma abordagem eficiente do modelo de governança:
 Princípios, políticas e padrões
Meio pelo qual se traduz o comportamento desejado em orientações práticas para o
dia-a-dia das atividades de governo do ambiente de TI.
 Processos
Descrevem um conjunto organizado de práticas e atividades para atingir certos
objectivos e produzir um conjunto de saídas em apoio de alcançar as metas gerais
relacionados aos objetivos da TI.
 Estruturas organizacionais
Compoem um conjunto informações, processos e cultura corporativa de uma empresa
servindo de direcionador na tomada de decisão. Cultura, ética e comportamento dos
indivíduos e da própria empresa são muitas vezes subestimados como fator de sucesso
em atividades de governança e gestão.
 Informação
É o combustível diário, para que a organização continue funcionando e bem
governada, mas no nível operacional, a informação é muitas vezes a chave do produto
da própria empresa.
 Serviços de infraestrutura
Aplicações incluem a infraestrutura, tecnologia e aplicativos disponibilizam suporte ao
desenvolvimento do seu negócio principal.
 Pessoas, habilidades e competências
São requisitos necessários para a conclusão bem-sucedida de todas as atividades, e
para correta tomada de decisões e o acionamento de ações corretivas.
Fonte: http://www.isaca.org/cobit/pages/default.aspx
Acessado em Janeiro de 2013

O objetivo desse trabalho é o de apresentar a complexidade existente nos bastidores de

um ambiente que utilize a tecnologia de radio frequência denominada de NFC siga em inglês
para Near Field Communications, cujo desenvolvimento temos acompanhado desde o seu
primeiro anuncio a mais de seis anos.
A gama soluções de serviços possíveis com a tecnologia aplicada a ambientes de
comunicação móvel, que proporciona uma plataforma quase infinita para o desenvolvimento
de aplicações que vão desde controle de acesso, passando por meio de pagamento eletrônico,
contas bancárias virtuais, serviços de saúde pessoal e pública até o controle de identificação
pessoal, se torna um aviso de como ainda vamos acompanhar o aparecimento de inovações
cada vez mais complexas e instigantes.
Assim, o que temos hoje em termos de volume de transações com alto grau de
qualidade e segurança com os canais existentes, nos leva a concluir que com o uso
massificado da tecnologia NFC provocará um crescimento ainda mais significativo, dado que
qualquer dispositivo móvel (celular ou tablet) passa a ser um canal para a efetivação de
transações eletrônicas aplicadas a qualquer setor de atividade econômica atual. Nesse aspecto
podemos notar que conforme pesquisas e levantamentos realizados pela empresa norte
americana Pew Internet & American Life Project, sempre apontam números que dão a
importância do acesso móvel associado ao estilo de vida que grande faixa da população
mundial tem adotado:
Número de leitores de e-books aumenta nos EUA
Uma pesquisa realizada pela Pew Internet & American Life Project, liberada
na quinta-feira (27), mostrou que 23% dos norte-americanos entrevistados
estão migrando para a leitura digital, contra 16% registrados na pesquisa
anterior.
O aumento coincidiu com o número maior de proprietários de dispositivos
 15
móveis. O número de consumidores que possuem tablets, como iPad e
Galaxy Tab, ou um leitor de livro digital, como o Kindle ou o Nook;
aumentou para 33% neste ano, em comparação com os 18% registrados em
2011. Em novembro, um quarto dos norte-americanos acima de 16 anos
possuiam um tablet - um aumento nos 10% registrados no ano passado.
Enquanto isso, 19% disseram possuir um e-Reader, número acima dos 10%
da pesquisa anterior.

Fonte: http://idgnow.uol.com.br/mobilidade/2012/12/28/numero-de-leitores-de-e-books-aumenta-nos-eua-diz-pesquisa/
ACESSADO EM 22/04/2013 08:46

Celular será o principal meio de acesso à web em 2020, diz estudo

Os celulares serão o principal meio de acesso à internet para a maioria dos
usuários em 2020, revela estudo da Pew Internet & American Life Project.
O levantamento foi conduzido por entrevistas com 1.196 ativistas,
especialistas, pesquisadores e investidores, comentando os efeitos da web na
vida social, política e econômica no ano 2020.
Entre os entrevistados, 81% concordaram que o celular será o principal meio
de conexão à web. Ao falar sobre as interfaces de usuários, a Pew aponta que
67% concordam que a maioria dos aplicativos terá, em 2020, reconhecimento
de voz e tecnologia sensível ao toque. O controle de conteúdo, feito por meio
de tecnologias de proteção à cópia, não será um sucesso, segundo 61% dos
especialistas. A luta para controlar os direitos autorais parece que ainda se
estenderá, já que esta porcentagem não concorda que haverá um sistema de
cobrança automático quando se baixa uma música, por exemplo. Em 2020,
haverá poucas linhas que dividem o tempo profissional do pessoal,
integrando atividades das duas áreas, afirmam 57% dos entrevistados.
E ao contrário do que muitos pensam, contudo, a internet não ajudará as
pessoas a serem mais tolerantes, diminuindo a violência no mundo - 55% têm
esta opinião. Além disso, 80% dos especialistas dizem que, por mais que a
internet seja aprimorada por novas tecnologias, nada tomará seu lugar.

Fonte: http://idgnow.uol.com.br/internet/2008/12/15/celular-sera-principal-meio-de-acesso-a-web-em-2020-diz-estudo//
ACESSADO EM 22/04/2013 08:53

Esse novo cenário que já é real e se amplia de forma muito rápida, cria grandes
desafios aos gestores públicos e executivos de empresas ao redor do mundo, pois deles serão
exigidos a cada dia, mais e mais, controle, gerenciamento e governo das soluções de TI
necessárias para a manutenção e evolução de ambientes que integram o ecossistema NFC.
 16

1 A CONVERGÊNCIA DAS TECNOLOGIAS COM NFC

O conceito de convergência tecnológica nos da uma grande contribuição para que
possamos fundamentar esse trabalho. Segundo o trabalho dos professores Ms. Ana Paula
Gonçalves Serra, Dr. Moacyr Martucci Júnior e Dr. Pedro Luiz Pizzigatti Corrêa, integrantes
do Departamento de Engenharia da Computação e Sistemas Digitais da USP em São Paulo,
temos o conceito muito bem estabelecido, que tem como fundamento o tripé:

Tripé da Convergência Digital

Usuários Tecnologia Conteúdo

Figura 03: Convergência Digital – LSA USP

LSA: www.lsa.pcs.poli.usp.br
Por Ms. Ana Paula Gonçalves Serra, Dr. Moacyr Martucci Júnior e Dr. Pedro Luiz Pizzigatti Corrêa

 Usuários: Pessoas ou empresas que necessitam e têm acesso a conteúdo;

 Tecnologia: Meios técnicos (terminais, redes, servidores, softwares,...) que permitem
que os usuários tenham acesso ao conteúdo;
 Conteúdo: Informações, aplicações, serviços ou produtos aos quais os usuários podem
ter acesso local ou remoto.
Um conceito que envolve uma base tecnológica composta de sistemas de
telecomunicações, sistemas de computadores de qualquer capacidade (data centers, sistemas
de médio e pequeno porte), sistemas de redes locais, metropolitanas e de grande extensão
territorial e sistemas de captura e difusão de informações. Associando esse ambiente um
sistema de aplicações que permita aos usuários o acesso as que desejam de qualquer lugar, em
qualquer rede que utilize por qualquer meio disponível, ou seja, um conceito de ubiquidade.
Conforme apresentado pelos professores, temos o seguinte conceito de convergência
tecnológica:
Laboratório de Sistemas Abertos da USP
Qualquer aplicação de tecnologia de informação e comunicação que se possa
imaginar, como por exemplo: TV digital, Internet móvel, vídeo conferência,
telefonia fixa ou móvel, difusão interativa de conteúdo, etc, ou seja,
tecnologias que envolvam setores de telecomunicações, meios de
comunicação e tecnologia de informação constituem elementos que suportam
a convergência tecnológica.
Fonte: ConvergenciaTecnologica.ppt www.lsa.pcs.poli.usp.br
Documento acessado em 8 de Abril de 2013

Na visão do sistema financeiro Brasileiro, fica claro que o conceito de convergência

digital tem sido fortemente utilizada, pois além de termos o setor mais bem servido em termos
de soluções tecnológicas, as novidades não param de por ai, conforme essa notícia veiculada
no site de tecnologia IDGNow:
Operadoras e bancos querem transformar celular em meio de
pagamento
 17
Cada vez mais, o celular ganha importância no cenário nacional. Hoje,
segundo dados da Agência Nacional de Telecomunicações (Anatel), já são
247,2 milhões de aparelhos ativos no País, mais de 126,45 dispositivos por
cem habitantes. Agora, a promessa é que ele ganhe destaque em pagamentos.
Na última semana, o governo sinalizou o desejo de implementar um sistema
em que o celular funcione como cartão de débito para pequenas compras,
usando SMS para realizar a operação. Uma lei será proposta para definir a
modalidade de pagamentos pelo celular.
De acordo com pesquisa global realizada pela consultoria KPMG
International, o chamado mobile payment será o sistema mais utilizado no
momento da compra em até quatro anos. De olho nesse quadro, operadoras e
bancos nacionais estão-se movimentando e estabelecendo alianças para
mergulhar nesse mundo.
Em setembro do ano passado, o Banco do Brasil e a Oi uniram-se para
oferecer o cartão de crédito Oi, que pode ser utilizado como cartão tradicional
ou via celular. A funcionalidade usa máquinas da Cielo e a plataforma da
Paggo.
Segundo Gabriel Ferreira, diretor de produtos financeiros da Oi, os serviços
começaram a ser ofertados em Pernambuco e já estão presentes, hoje, em
todo o Nordeste. A partir de abril deste ano, chegará ao Sudeste e ao final do
terceiro trimestre, em todo o Brasil. O executivo não revela os números da
ação, mas afirma que a demanda pelo produto está 20% acima do planejado
pela operadora e que cerca de 1,2 milhão de máquinas da Cielo aceitam a
forma de pagamento.
“Também está no forno um segundo produto semelhante que terá a função
plástico, tradicional, e cartão pré-pago. Será possível, por exemplo, fazer
transferência entre celulares via texto para pagar contas, fazer recarga de
aparelhos com o dinheiro ou sacar o valor enviado no Banco do Brasil”,
explica Ferreira. Ele diz que esse tipo de tecnologia é mais segura do que os
cartões com chip e tem potencial de expansão.
Rogerio Signorini, diretor de inovação da Cielo, adianta que esse serviço será
lançado ao final deste mês e estará disponível nos terminais já habilitados
para uso do serviço anterior. “É o tipo de produto adequado para vendedores
de porta em porta ou profissionais liberais, porque vão permitir mais uma
forma de pagamento para os clientes. Como resultado, vão melhorar as
vendas”, observa.
Os executivos da Cielo e da Oi afirmam que as empresas já têm projetos de
Near Field Communication (NFC), tecnologia que permite ao usuário
aproximar o celular em um dispositivo, que funciona como máquina de
cartão de crédito. “A plataforma tem seu tempo de maturação. Acredito que
daqui cinco anos será comum esse tipo de pagamento”, opina o diretor de
produtos financeiros da operadora.
A Oi, por exemplo, faz parte de um grupo de estudos, liderado pela GSMA
[entidade que representa os interesses das operadoras de comunicações
móveis em todo o mundo] que tem o objetivo de padronizar soluções e
estimular o lançamento de operações comerciais do NFC no Brasil. “Estamos
de olho no futuro”, sintetiza Ferreira.
Fonte: http://idgnow.uol.com.br/mobilidade/2012/03/22/operadoras-e-bancos-querem-transformar-celular-em-meio-de-
pagamento/#&panel2-1
Acessado em 8 de Abril de 2013

A telefonia móvel trouxe com ela uma revolução nos hábitos de vida das pessoas,
lembrando mais uma vez que verdadeira e real Aldeia Global de McLuhan esta viva e forte,
como jamais poderia imaginar seu autor na década de 60, vivemos agora o mundo de opções
quase infinitas com uma variedade de contatos e serviços até então nunca vistos:

Para McLuhan (1911-1980), os meios eletrônicos levariam a humanidade a

uma identidade coletiva com base tribal - a aldeia global. Antes disso, a
cultura visual dominante seria fragmentária.
Esse conceito de McLuhan, já popular à época do lançamento do livro,
alcançou mais visibilidade com a disseminação da internet. O canadense é
apontado por muitos como um visionário da rede mundial.
Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u350765.shtml
 18
Acessado em 22/04/2013 09:25

2 A TECNOLOGIA NFC
Criado em 2004, pela Philips detentora da tecnologia de cartões de proximidade
MIFARE e pela Sony detentora da tecnologia de cartões de proximidade FELICA, o NFC
Fórum, organização gestora da tecnologia, que hoje agrega mais de 170 empresas de vários
países que estão organizadas de forma a executar o desenvolvimento da tecnologia NFC.
A tecnologia de contectividade baseada nos padrões NFC - acronimo de Near Field
Comunication (Comunicação de campo próximo) é a tecnologia que permite a troca de
informações sem contato de forma segura e confiável entre dois dispositivos. Harmoniza hoje
diversas tecnologias sem contato (Mifare, Felica, Tags Rfid), permitindo manutenção das
soluções atuais que se baseam nessas tecnologias bem como o desenvolvimento de outras
soluçoes. O fator do sucesso do NFC é devido ao fato da teconoligia estar sendo lançada de
forma integrada aos dispositivos de comunicaçao móvel, proporcionando um alto valor
agregado a essa indústria bem como a todos os integrantes de sua cadeia de valor. Dentre os
usos ja definidos temos como exemplo:
 Controle de acesso
 Eletrônicos de consumo
 Saúde
 Coleta e troca de informações
 Fidelização e cupons de descontos e promoções
 Meios de Pagamento
 Transporte

A tenologia NFC é gerida pelo NFC Fórum que é composto por um grande número de
organizações que formam Ecossistema NFC e estão agrupadas por critérios indicadores de sua
forma de participação dentro do NFC Forum, que são descritos abaixo:

Membros Patrocinadores
Broadcom Corporation QUALCOMM Inc.
Google Inc. Renesas Electronics Corporation
Intel Corporation Samsung Electronics Co., Ltd.
MasterCard Worldwide Sony Corporation
NEC Corporation STMicroelectronics N.V.
Nokia Corporation Visa Inc.
NXP Semiconductors

Membros Principais
American Express Kovio Inc.
AT&T LG Electronics
Barclaycard Marvell International Ltd.
Cambridge Silicon Radio NTT DOCOMO, INC.
CANON INC. PayPal
Dai Nippon Printing Co., Ltd. Research In Motion Ltd
Discover Financial Services, LLC Rogers Communications Inc.
Hewlett Packard Texas Instruments Incorporated
Huawei Technologies Co, Ltd. Yahoo! JAPAN
Infineon Technologies Kovio Inc.
INSIDE Secure S.A. LG Electronics

Membros Associados
A&D Company Limited
Acer Incorporated JCB Co., Ltd.
Agilent Technologies KEOLABS
 19
Ams AG Korea Smart Card Co., Ltd.
Applus+ LGAI Korea Testing Certification (KTC)
Assa Abloy LEGIC Identsystems Ltd
AT4 Wireless Lenovo
Bell Mobility MediaTek
BKM Micropross
Brother Industries, LTD Microsoft Corporation
Bureau Veritas ADT Murata Manufacturing Co., Ltd.
C-SAM National Instruments
CanvasM Technologies Limited National IT Industry Promotion Agency
CETECOM Nordic Semiconductor ASA
CHENG LOONG CORP. Hitachi, Ltd.
China Mobile Communication Corporation NTT Data Corporation
China Telecommunication Technology Labs Oberthur Technologies
China UnionPay Co., LTD. Panasonic
Chunghwa Telecom Laboratories Parrot
Clear2Pay (Integri) PHAYMOBILE
Communications Global Certification Inc. RFI Global Services LTD
COMPRION GmbH Rohde & Schwarz GmbH & Co.
Cubic Transportation Systems, Inc. ROHM Co., Ltd.
Daimler AG SanDisk
DENTSU INC. Sasken Communication Technologies Ltd.
Dialog Semiconductor GmbH SAXA, Inc.
ERICSSON AB SGS
FIME SHARP CORPORATION
Gemalto NV SK C&C USA
Giesecke & Devrient GmbH SMARTRAC TECHNOLOGY GROUP
Communications Global Certification Inc. Sporton International Inc.
COMPRION GmbH Sprint
Cubic Transportation Systems, Inc. Stollmann E+V GmbH
Daimler AG Stonestreet One
DENTSU INC. TA Technology (Shanghai ) Co., Ltd
Dialog Semiconductor GmbH Telecommunication Metrology Center (TMC)
ERICSSON AB Toppan Forms Co., LTD
FIME Toshiba Corporation
Gemalto NV TTA
Giesecke & Devrient GmbH TÜV SÜD AG
Harman International VeriFone
Hitachi, Ltd. VI Service Network
HYPER Taiwan Technology Inc. WIPRO Limited
ICTK Co., Ltd. XAC Automation Corporation
Integrated Device Technology, Inc. (IDT) Zebra Technologies
Interac Association/Acxsys Corporation ZTE CORPORATION
IXXI - Groupe Ratp

Membros Implementadores
3ALogics Inc. MtekVision Co., Ltd.
Advanced Card Systems Ltd. Plastic Card Enterprise Ltd.
ALPS Electric Co., Ltd. Polar Electro Oy
Athena Smartcard Proxama Ltd
Blackboard, Inc. Pulse Finland Oy
Bundesdruckerei GmbH Quanta Computer Inc.
Cassis International Pte Ltd RapidNFC
Castles Technology Co., Ltd. Realtek Semiconductor Corp.
Constratus LLC Ricoh Company, LTD
Consult Hyperion SAMSUNG ELECTRO-MECHANICS Co.
Creative Technology Ltd. Samsung SDS
 20
Crosscliq Schneider Schreibgeraete GmbH
Datang Telecom Technology Co., Ltd SecureKey Technologies, Inc.
DUALi Inc. Sequent Software Inc.
Eastcompeace Smart Card Co., Ltd Shenzhen Netcom Electronics Co., Ltd.
EnStream LP SKIDATA AG
Feitan Technologies Co., Ltd. Sunward Telecom Limited
Frontline Test Equipment, Inc. TCL Communication Technology Holdings Ltd
Fujitsu Limited TCL Technoly Electronics (Huizhou) Co., Ltd.
H.O.Tech TIMWE
HTC Corporation TUOMI IT SA
Identive-Group, Inc. UKC Electronics Corporation
Isis USA Technologies
ITN International, Inc. Validity Sensors, Inc.
JC Square Inc. Vertu Corporation Limited
Johnson Controls, Inc. VITEC CO., LTD.
Kyocera Corporation Waldemar Winckel GmbH & Co. KG
MAGTEK, Inc. Wistron NeWeb Corporation

Membros sem fins lucrativos

Bundesamt für Sicherheit in der
Informationstechnik
Centre National de référence RFID
CITC-EuraRFID
FH OÖ Forschungs- & Entwicklungs GmbH
Forum des Services Mobiles Sans Contact
GS1 Colombia
GSM Association
Hungarian Mobile Wallet Association
Industrial Technology Research Institute
Institute for Information Industry
ITSO
Japan IC Card System Application Council
National Payments Corporation of India
National Retail Federation (NRF-ARTS)
Open Ticketing Institute
Rhein-Main-Verkehrsverbund GmbH
StoLPaN
Verband Deutscher Verkehrsunternehmen
VTT Technical Research Centre
WIMA

Observando esta relação de organizações que estão empenhadas no objetivo de criar

uma base sólida de aplicação da tecnologia, para quem tem contato com os temas questões,
dúvidas e até polemicas envolvendo o mundo NFC, fica muito claro o grande desafio do
trabalho que esta nas mãos do NFC Forum, conforme descrito em sua pagina na internet, onde
podemos ler sobre sua missão e objetivos:
Missão
O NFC Fórum foi criado para promover o uso da tecnologia atravez da
observação das especificações ja definida e em desenvolvimento, garantindo
a interoperabilidade entre dispositivos e serviços; educar o mercado sobre a
tecnologia NFC. Formado em 2004, o NFC Fórum tem agora 170 membros
entre, fabricantes, desenvolvedores de aplicativos, instituições de serviços
financeiros, e mais todo o trabalho em conjunto para promover o uso da
tecnologia NFC em eletrônicos de consumo, dispositivos móveis e
computadores.
Metas
Os objetivos do Fórum NFC são:
 Desenvolver padrões baseados em especificações Near Field
Communication que definem uma arquitetura modular e os
parâmetros de interoperabilidade dos dispositivos e protocolos NFC;
 Incentivar o desenvolvimento de produtos por meio de
especificações NFC Forum;
 Trabalhar para garantir que os produtos que reivindicam
capacidades NFC conformidade com as especificações NFC Forum
 Educar os consumidores e empresas a nível mundial sobre NFC

O Fórum NFC oferece uma estrutura sólida para o desenvolvimento de

aplicações, soluções interoperáveis integráveis e segurança para transações
 21
NFC. O Fórum NFC organizou os esforços de dezenas de organizações-
membro através da criação de Comissões e Grupos de Trabalho.
Em junho de 2006, apenas 18 meses depois de sua fundação, o Fórum
descreveu formalmente a arquitetura para a tecnologia NFC. O Fórum lançou
16 especificações. As especificações fornecem um "mapa do caminho" que
permite que todas as partes interessadas criar novos e poderosos produtos de
consumo.
http://www.nfc-forum.org/aboutus/
Acessado em 15/01/2013 as 17:00 hrs.

3 NFC E A CONVERGÊNCIA DAS TECNOLOGIAS

A tecnologia NFC oferece nova interface que permite, atraves do uso da tecnologia de
simples aproximação (campo curto), a criação de novas aplicações / serços que possibilitam a
integração de forma segura das tecnologias existentes, carindo uma ponte do mundo virtual
para o mundo fisico. O NFC Forum, desta as seguintes caracteristicas:
 NFC significa proximidade: Todas as transações NFC ocorrer dentro de uma área
muito pequena, em qualquer lugar de um toque a 4 centímetros. Isso significa que
você não pode comprar algo sem saber, porque você anda ao lado de um pôster
inteligente.
 NFC permite configuração com simples toque: NFC é capaz de substituir o
emparelhamento de dispositivos habilitados para Bluetooth, ou a configuração de uma
rede Wi-Fi através de PINs e chaves, simplesmente tocando os dois dispositivos a
serem emparelhados ou conectados à rede, apenas com o toque do dispositivo a um
tag. O ganho em simplicidade de uso é substancial, enquanto o nível de confiança é
exatamente similar.
 NFC Permite tuneis electrónicos seguros: Possibilita de criação de mecanismos de
autenticação do usuário permitindo que dispositivos NFC possam substituir cartões
sem contato. Vantagens que permite, por exemplo, a criação de soluções que
substituem o procedimento atual de check-in de forma mais confortável e segura ao
usuário.
 NFC e Saúde: Monitores pessoais de saúde com uso de dados vitais de um ser
humano que podem ser lidos por um dispositivo NFC, gerando grande campo de
atuação para a criação de aplicativos que podem melhorar a previsibilidade de doenças
gerando economia de escala em serviços de saúde governamentais.
 Dispositivos NFC para trocar informações: NFC permite aos usuários de forma
rápida e fácil, a transferência de informações entre dispositivos com um simples toque.
Quer se trate de uma troca de cartões de visita, uma transação rápida, ou baixar um
cupom, a proximidade assegura que a informação compartilhada é a informação que
você deseja compartilhar.

A tecnologia NFC possui uma gama de benefícios que atuam em uma ampla
diversificação associados as modernas demandas de mobilidades, conforto e acessibilidade
para consumidores e empresas, tais como:
 Intuitivo: Interações NFC não necessitam de mais do que um simples toque;
 Versátil: NFC é aplicável para uma gama ampa de indústrias, ambientes e usos;
 Aberta e baseada em padrões: As camadas subjacentes da tecnologia NFC agregam as
normas ISO, ECMA e ETSI de uso universal;
 Amplitude-: NFC facilita a configuração rápida e simples de tecnologias sem fio,
como Bluetooth, Wi-Fi, etc;
 Interoperáveis: NFC trabalha com as tecnologias existentes de cartão sem contato;
 Segurança: NFC foi construído com capacidade para suportar aplicações seguras
Fonte: http://www.nfc-forum.org/home/
Acessado em 10/07/2012 as 15:18
 22

4 UM NOVO PADRÃO MUNDIAL

Para tonar realidade uma tecnologia do porte do NFC, se faz necessário a
normatização e padronização um modelo de troca de mensagens entre os sistemas distintos de
uma variedade de fornecedores, visando a redução os impactos de integração de sistemas
tipicamente associada com a construção de arquitetura de sistemas a partir de uma variedade
de provedores de soluções. As mensagens podem ser trocados entre mais de um dos
integrantes do processo, e, em alguns casos, o modelo poderá ser usa no roteamento de
mensagens onde um das partes apenas irá repassa-la ao responsável por seu atendimento.
O princípio da padronização de mensagem é a interoperabilidade em tres níveis, ou
seja, dados corporativos processos de negócios e troca de dados, como apresenta a figura
abaixo:

Figura 04: OS Níveis da Interoperabilidade

Fonte: GlobalPlatform_NFC_Mobile_White_Paper.pdf
Secure Element Management and Messaging, White Paper, Abrill 2009

Dados comerciais - O nível de dados de negócios fornece um vocabulário com o objetivo de

facilitar:
 A compreensão clara e agreem ent de termos que estão sendo utilizados;
 Regras claras sobre como e onde os termos definidos podem ser utilizados de uma
forma significativa.
Processos de Negócios - O nível de processo de negócio define o papel e as
responsabilidades. Um papel é um modelo abstrato que especifica um conjunto de deveres e
tarefass, enquanto que as responsabilidades consistem em:
 Uma lista completa de ações e funções a serem executadas;
 Os dados de negócios a serem trocados.
Data Exchange - Ao nível da troca de dados, as estruturas de dados estão definidos:
 Estrutura XML;
 Esquemas XML para validação;
 Protocolo independente - as mensagens descritas utilizam um cabeçalho da mensagem
XML padrão.

A interoperabilidade aplicada no ecossistema é a coluna principal de sustentação da

tecnologia e o papel de normatização e padronização do ecossistema a cargo da Global
Platform que define e gerencia o padrão aplicado.
Fonte: Documento GlobalPlatform_NFC_Mobile_White_Paper.pdf
Secure Element Management and Messaging - Abril 2009 – GlobalPlatform Inc.
 23

Figura 05: Padrões e componentes do ambiente NFC

Fonte: 2009_09_01_Secure_Element_Programming.pdf
Josef Langer, Andreas Oyrer - Set. 2009 - Oulu Developers Summit – NFC Research Lab Hagenberg - Austria

Padrões Finalidade
EMVCo Padrão global para cartões de pagamento (crédito e débito) baseado na tecnologia
www.emvco.com de cartão com chip (ICC),
ETSI European Telecommunications Standards Institute é uma organização de
www.etsi.org padronização no setor de telecomunicações

GlobalPlatform Organização que fornece especificações para um ambiente seguro e interoperável

www.globalplatform.org aplicado a tecnologia de chip

GSMA Associação das operadoras de telefonia móvel para apoiar a padronização e

www.gsma.com implantação do sistema celular GSM

ISO International Organization for Standardization. Fornece padrões para cartões

www.iso.org microprocessados com contato (ISO-7816) e sem contato (ISO-14443).
Associação da indústria que promove a especificação e uso de interação sem fio
NFC Forum de curto alcance (NFC) em eletrônicos de consumo, dispositivos móveis e
www.nfc-forum.org computadores.
Fornece especificações para tecnologia de pagamentos com e sem contato.
Payment Schemes (Amex, Discover, MasterCard, Visa)
PCI Security Standards Council fornece os padrões : Payment Card Industry
PCI Security Standards-Data Security Standard (PCI DSS), Payment Application
www.pcisecuritystandards.org Data Security Standard (PA-DSS) e PIN Transaction Security (PTS), utilizado
pela indústria de pagamentos por cartões.
FIPS Padrão de segurança de computadores do governo dos EUA que descreve os
csrc.nist.gov requisitos de segurança e normas aplicadas a módulos de criptografia

Common Criteria Common Criteria é um padrão internacional para a certificação de segurança do

www.commoncriteriaportal.org computador. Fornece avaliações de produtos de Tecnologia da Informação e
perfis de proteção
Figura 06: Organizações e seus padrões do ambiente NFC
Fonte: Secure_Elements_101_FINAL3_032813.pdf
Smart Card Alliance Webinar - Março 28, 2013

A figura e a tabela acima apresentam o gráu de padronização aplicada ao ecossistema

do NFC bem como as organizações responsáveis por cada uma das áreas que a requer, topico
esse que veremos em maior detalhado adiante:
 24

4.1 A GLOBALIZAÇÃO E A INTEROPERABILIDADE DO NFC

Quando o assunto e telefonia móvel, o assunto que vem a tona é que esse setor de
serviços é um dos que tecnologicamente, tem evoluído consideralvelmente em todo o mundo,
tendo forte carga de componentes tecnológicos em sua cadeia de valor. Ressaltando essa
importante área de serviços, citamos a posição das operadoras de telefonia móvel, descrita na
pagina da internet da GSMA que é organização que agrega essas empresas em todo o mundo:
As operadoras móveis e NFC
Operadores de redes móveis (MNO) em todo o mundo estão agora lançando
serviços baseados na tecnologia NFC, alimentando a próxima onda de
inovação móvel. Serviços comerciais estão vivos em uma série de países,
incluindo: Coreia do Sul, França, Cingapura, Reino Unido, EUA, Polônia,
Canadá, China, Japão, Turquia, Nova Zelândia e República Checa.
As empresas operadoras de telefonia móvel estão posicionadas para facilitar à
prestação de serviços de NFC, dados as caracteristicas dos mesmos:
 Economias de escala suficientes para fornecer serviços sem contato
para todos;
 O acesso aos canais de distribuição substanciais forças para oferecer
e promover aparelhos habilitados para NFC subsidiados;
 Infraestrutura pronta fornecendo aos consumidores, com o apoio de
confiança em todas as questões relativas aos seus serviços de
telefonia móvel;
 A infraestrutura técnica para o provisionamento de cartões SIM e
garantir a segurança adequada e certificação ao cliente;
 Experiência substancial em interoperabilidade / roaming e garantia
de compatibilidade global de serviços.
Fonte: http://www.gsma.com/mobilenfc/
Acessado em 8 de Abril de 2013
A seguir veremos o complexo mundo da tecnologia NFC, dado ao alto grau de
normatização aplicado a mesma, visto ser ponto de convergências de vários setores onde a
regulamentação e conformidade a normas internacionais ja sejam requisitos obrigatórios.
Veremos a quantidade de organizações envolvidas bem como o volume de material produzido
visando dar confiabilidade, interoperabilidade e segurança a todas as partes envolvidas com a
tecnogia que ja desponta como revolucionária.

4.1.1 EMV
A EMVCo, empresa de propriedade das administradoras de cartões American Express,
JCB, MasterCard e Visa, que tem como atuação o gerenciamento e manutenção, da patente do
circuito eletrônico integrado de controle e das especificações EMV para garantir a
interoperabilidade global de cartões de pagamentos baseados em chips com dispositivos de
aceitação, incluindo terminais de ponto de venda e caixas eletrônicos.
EMVCo também administra o processo de teste e aprovação, e supervisiona os
procedimentos certificação com as normas EMV. Essas atividades incluem testes de
conformidade para dispositivos baseados em chips de pagamento e aceitação de cartões de
pagamento para ambas as definições fundamentais comuns e especificações para aplicação de
pagamento comum. O processo e os procedimentos de teste para garantir a interoperabilidade
do sistema pagamento cruzado, que é o objetivo mais abrangente das especificações EMV e
EMVCo.
American Express, JCB, MasterCard e Visa, possuem 25% de participação na
EMVCo cada uma, com a participação de representantes na organização EMVCo, tanto a
nível de grupos de trabalho e como na gestão, o que possibilita as mesmas competência para
as decisões por consenso que tem como objetivo principal a garantia da uniformidade da
infraestrutura do cartão.
No documento com título “EMVCo White Paper on Contactless Mobile Payment”, em
sua versão 2.0 de setembro de 2011, a EMVCo, fornece uma visão atualizada do pagamento
 25
móvel sem contao, que define a posição empresa, detalhando como questões identificadas
anteriormente foram abordadas.
Indica os pontos no quais a EMVCo tem trabalhos em curso para o pagamento móvel
sem contato, e destaca as áreas em que outros órgãos do setor estão oferecendo entrada.
No sentido de cumprir os objetivos de proporcionar o desenvolvimento técnico e da
indústria e a coordenação dos trabalhos, a EMVCo publicou os seguintes documentos
técnicos:
 O Visão Geral da Arquitetura do pagamento móvel sem contato fornece uma
arquitetura e contexto para outros documentos móveis EMVCo;
 Requisitos de celulares para pagamento móvel sem contato, fornece a orientação para
a indústria em relação a recursos necessários para apoiar as capacidades de pagamento
móvel sem contato;
 Ativação de Aplicação de Interface de Usuário - Visão Geral, Diretrizes de Uso e
Requisitos PPSE, define como configurar um dispositivo móvel para suportar vários
pedidos de pagamento móveis sem contato, refletindo a escolha do usuário e
preferências;
 Perfis EMV de Configuração UICC GlobalPlatform, especifica uma série de perfis
para UICCs baseados nesses padrões, acordados pelos membros do EMVCo.
No ecossitema NFC o papel da EMVCo é primordial na definição de especificações
técnicas de manuseios do ES NFC, pois atua como agente certificador de um ambiente de
TSM, que o principal agente dentro do escopo de serviços com segurança de dados aplicado
aos processo de gerenciamento do ciclo de vida de aplicações NFC dentro da memória de
segurança do ES NFC conforme relatado no documento EMVCo Contactless Mobile Payment
- EMV Profiles of GP UICC Config v1.0, Dezembro de 2010, Pag, 13.
Fonte: http://www.emvco.com/about_emvco.aspx
Acessado em 10/04/2013 as 15:18

4.1.2 ETSI
O Instituto Europeu de Normas de Telecomunicações (ETSI) é uma organização sem
fins lucrativos com mais de 700 organizações-membro que representam 72 em 5 continentes
em todo o mundo.
O ETSI, uma organização setorial, sem fins lucrativos, produz padrões globalmente
aplicáveis para Tecnologias de Informação e Comunicação (TIC), incluindo telefonia fixa,
móvel, rádio, convergentes, transmissão e tecnologias de internet. Oficialmente reconhecida
pela União Europeia como uma Organização Europeia de Normalização.
Elabora normas e especificações de normalização com qualidade que conquistou
reputação de excelência técnica, atuando com três estruturas:.
 Comitê Técnico
Entidade semipermanente, organizada em torno de uma série de atividades de
normalização que abordam a área de tecnologia específica. Os resultados do
trabalho do Comitê Técnico pode muitas vezes ser utilizado por outros Comitês
Técnicos. Um corpo técnico geralmente atribui um item de trabalho para um
pequeno grupo de especialistas, liderada por um relator. O documento resultante do
item de trabalho (padrão, relatório etc) é referido como um Deliverable ETSI, que
pode ser uma:
• ETSI Especificação Técnica (TS)
• Relatório Técnico ETSI (TR)
• ETSI padrão (ES)
• Guia ETSI (EG)
• Norma Europeia (EN)
• ETSI Relatório Especial (SR)
• ETSI Grupo Specification (GS)
 ETSI Projeto
 26
Um projeto ETSI é semelhante a um Comité Técnico mas com foco em uma
exigência do sector de mercado, em vez de uma tecnologia e tem uma duração
definida.
 Projeto de Parceria ETSI.
Um Projeto de Parceria ETSI é uma atividade estabelecida quando existe a
necessidade de cooperar com outras organizações para alcançar um objetivo onde a
cooperação não pode ser acomodada dentro de um projeto ETSI ou Comitê
Técnico.
Direitos de Propriedade Intelectual (IPR) no ETSI
O ETSI atua também como gestor quando da ocorrência de conflitos relativo a diretos
de propriedade intelectual, através da politica de IPR que define a reponsabilidade e
cooperação das partes envolvidas para cada ocorrência. Três documentos informam sobre esse
tópico e são eles:
 ETSI IPR Policy
 ETSI Guide on IPRs
 ETSI IPR Policy FAQ
Os Grupos de Especificação da indústria (ISG) coexistem com a ETSI e completam o
processo de desenvolvimento de normas vigentes. Atualmente existem os seguintes ISGs:
 Open Radio equipment Interface (ORI)
 Autonomic network engineering for the self-managing Future Internet (AFI)
 Mobile Thin Client Computing (MTC)
 Identity management for Network Services (INS)
 Measurement Ontology for IP traffic (MOI)
 Quantum Key Distribution (QKD)
 Localisation Industry Standards (LIS)
 Information Security Indicators (ISI)
 Open Smart Grid (OSG)
 Surface Mount Technique (SMT)
 Low Throughput Networks (LTN)
 Operational energy Efficiency for Users (OEU)
 Network Functions Virtualization (NFV)
O papel da ETSI no contexto da arquitetura NFC esta ligado diretamente a capacidade
dos atuais dispositivos acessar o servidor web instalado no SIM-NFC, o SCWS, Smart Card
Web Server e da solução que permite o acesso sem fio entre o SIM-NFC ou ES-NFC via
SWP, como descrevem as figuras abaixo:
Fonte: http://www.etsi.org/
Acessado em 21/02/2013 as 10:00 hrs

Figura 07: Webser que atua Sim-NFC ou ES-NFC

Fonte: G&D_Vedder_UICC_SecurityPlatformforValueAddedServices.pdf
4th ETSI Security Workshop - Sophia Antipolis, France - 13-14 January 2009
 27

Figura 08: SWP – Single Wire Protocol

Fonte: G&D_Vedder_UICC_SecurityPlatformforValueAddedServices.pdf
4th ETSI Security Workshop - Sophia Antipolis, France - 13-14 January 2009

4.1.3 GLOBALPLATFORM
GlobalPlatform é uma associação sem fins lucrativos que identifica, desenvolve e
publica especificações técnicas que facilitam a implantação e gerenciamento seguro e
interoperável de múltiplas aplicações embarcadas em tecnologia de chip seguro. Suas
especificações técnicas comprovadas e reconhecidas internacionalmente são consideradas
como o padrão da indústria, para a construção de uma solução confiável ponto-a-ponto que
serve múltiplos atores e suporta vários modelos de negócios.
No conceito da GlobalPlatform aplica-se o termo "chip seguro" em referência a
tecnologias incorporadas em vários chips como: cartões inteligentes, processadores de
aplicativos, SD cards, tokens USB e elementos de segurança, inclusive o SE NFC - para
proteger os ativos (dados, chaves e aplicações) de ataques físicos ou via software mal
intencionado.
As especificações técnicas são disponibilizadas gratuitamente e fornecem a base para a
convergência do mercado e novas parcerias intersetoriais inovadoras. A tecnologia tem sido
adotada globalmente para os setores de serviços financeiros, telecomunicações móveis,
governo, saúde, setores de varejo e de trânsito. Pesquisa realizada pela Eurosmart confirmou
que em 2012 produziu mais de 7 bilhões de unidades de dispositivos microcontroladores
inteligentes seguros embarcados (chips de segurança), dos quais 2,6 bilhões de unidades de
dentro dos padrões da tecnologia da especificações GlobalPlatform.
A GlobalPlatform também suporta um programa de conformidade para o ecossistema
aberto que assegura a interoperabilidade a longo prazo da tecnologia de chip seguro, com uma
atuação dividida em três importantes comitês:
Comitê do cartão: O objetivo deste comitê é definir as especificações da indústria e
tecnologia neutras para a implantação e gestão segura e interoperável de múltiplas aplicações
embarcadas em tecnologia de chip seguro. O Comitê de cartão é actualmente presidido por
Karl Eglof Hartel da Giesecke & Devrient, empresa alemã.
Comitê de dispositivos: O objetivo deste comitê é: Definir uma arquitetura de
segurança aberta para o consumidor e dispositivos conectados - o ambiente de execução de
confiança (TEE) - possibilitando o desenvolvimento e implantação de aplicativos de
segurança de vários prestadores de serviços. Para definir os serviços necessários para a gestão
dos elementos de segurança (ES) e interação segura com ESs; incluindo a UICC com ES
 28
embutido e micro SD inteligente com ES embutido no dispositivo. O Comitê do dispositivo é
atualmente presidido por Christophe Colas de Trustonic.
Comitê de Sistemas: O objetivo deste comitê é a definição de especificações abertas
que podem ser usadas para a infraestrutura de sistemas de gestão central tanto na implantação
Como no gerenciamento uma ou mais aplicações embarcadas em tecnologia de chip seguro. O
grupo cria um tecnologia do ambiente de gerenciamento de aplicações neutro para a indústria,
que seja capaz de suportar todas as necessidades do mercado, com suporte específico para
chips seguros baseados na tecnologia GlobalPlatform.
Dentro do escopo de sua atuação, disponibiliza uma variaedade de especificações
técnicas, documentação para agilizar e uniformizar o trabalho para o ambiente de cartões
microprocessados com contato, dispositivos de interação com os cartões e sistemas de apoio
ao ecossitema em questão. No caso específico do NFC, a atuação da organização é crucial
pois são por meio de suas applets Java que podem ser implementados sistemas que utilizem
os recursos da tecnologia dentro de padrões internacionais de segurança.
Fonte: http://www.globalplatform.org/aboutus.asp
Acessado em 10/02/2013 as 18:18
4.1.4 GSMA
É a Associação mundial das operadoras de telefonia móvel, que abrange 220 países,
reunindo cerca de 800 operadoras de telefonia móvel. De forma resumida no quadro abaixo,
estão descritas as principais ações da GSMA em todo o mundo:
Conformidade NFC Móvel Governança Conectividade Prêmios e Eventos
Banda larga
Projetos técnicos Qualidade serviços Vida conectada Cnogresso Mundial
móvel
Puliticas
API única Identidade móvel Cidades inteligentes Prêmio Mundial
públicas
Mobilidade para
Sustentabilidade Aplicações Saude Mulher contectada
desenvolvimento
Responsabilidade NFC e Mobile Money
Conectividade Edução
Social Summit
Automóvel
Integração
contectado
Figura 09: Ações Globais da GSMA
Fonte: http://www.teleco.com.br/pais/celular.asp acessado em Janeiro de 2013

Somente no serviço de moedeiro eletrônico móvel NFC para pessoas não bancarizadas
A GSMA atua com apoio em projetos pilotos de testes, estão relacionados mais de 260
projetos no mundo todos, sendo 150 já implantados e 110 em fase de planejamento. Integra
do Forum NFC como membro sem lucro e detem influência sobre mais de 5 bilhões de
dispositivos móves com a tecnologia GSM ao redor do mundo.
Fonte: http://www.gsma.com/
Acessado em 15/01/2013 as 22:00 hrs
4.1.5 A ISO
ISO (International Organization for Standardization) é organização internacional que
desenvolbe de forma voluntária norma de especificações e padronização para de produtos,
serviços e boas práticas, visando eficiencia e eficácia. Desenvolvidos através de consenso
global.
Foi criada em 1947, desde então já publicou mais de 19.500 normas internacionais que
abrangem quase todos os aspectos da tecnologia e de negócios, que vão da segurança
alimentar para computadores e da agricultura aos cuidados de saúde.
Segundo a definção apresentada no site da organização, cujo endereço é www.iso.org
temos as definições sobre o que o resultado do trabalho:
A norma é um documento que fornece requisitos, especificações,
diretrizes ou características que podem ser usados de forma consistente para
assegurar que materiais, produtos, processos e serviços são adequados para o
 29
seu propósito. Nós publicamos mais de 19 500 normas internacionais que
podem ser comprados na loja de ISO ou de nossos membros.
Normas Internacionais ISO garantir que os produtos e serviços são
seguros, confiáveis e de boa qualidade. Para as empresas, eles são
ferramentas estratégicas que reduzam os custos por minimizar o desperdício e
os erros e aumentando a produtividade. Eles ajudam as empresas a aceder a
novos mercados, nivelar o campo de jogo para os países em desenvolvimento
e facilitar o comércio mundial livre e justo.
Fonte: http://www.iso.org/iso/home/standards.htm
Acessado em 28/04/2013 as 10:00

O papel da ISO no ecossitema NFC esta ligado a utilização das normas internacionais
quanto a aplicação das seguintes normas:

 ISO / IEC 7816 Cartões de identificação

É uma norma internacional relacionada aos cartões de identificação electrónica
com contato, especialmente cartões inteligentes, geridos conjuntamente pela
Organização Internacional de Normalização (ISO) e da Comissão Electrotécnica
Internacional (IEC).
É editado pela comissão técnica (JTC) 1 / Sub-Comité Misto (SC) 17, cartões e
identificação pessoal. É composta pelas seguintes publicações:
 7816-1: Características físicas
 7816-2: Cartões com contato - Dimensões e localizações dos contatos
 7816-3: Cartões com contato – Interface elétrica e protocolos de transmissão
 7816-4: Organização, segurança e comandos de intercâmbio
 7816-5: Registro de provedores de aplicação
 7816-6: Elementos de dados para intercâmbio entre as indústrias
 7816-7: Comandos da linguagem estruturada de consulta a cartões (SCQL)
 7816-8: Comandos para operações de segurança
 7816-9: Comandos para o gerenciamento do cartão
 7816-10: Sinais eletrônicos para respostas de redefinição para cartões
síncronos
 7816-11 Verificação pessoal através de métodos biométricos
 7816-12 Cards with contacts USB electrical interface and operating
procedures
 7816-13 Comandos para gerenciamento de aplicações em ambientes multi-
aplicações
 7816-15: Aplicação de informações criptográficas

 ISO / IEC 14443 Cartões de circuitos integrados sem contato

È uma norma internacional que define os cartões de proximidade utilizados para a
identificação e os protocolos de transmissão para se comunicar com o mesmo.
O padrão foi desenvolvido pelo Grupo de Trabalho da Subcomissão
8 17 ISO/IEC Comitê Técnico Conjunto 1. È composto dos seguintes
documentos:
 ISO/IEC 14443-1:2008 Parte 1: As características físicas
 ISO/IEC 14443-2:2010 Parte 2: Potência da frequência de rádio e interface de
sinal
 ISO/IEC 14443-3:2011 Parte 3: Inicialização e anticolisão
 ISO/IEC 14443-4:2008 Parte 4: Protocolo de transmissão
 30

4.1.6 O NFC FORUM

O papel do NFC Forum hoje é o principal dentro do ecossistema, pois é a isntuição
que tem a responsabilidade de gerir a tecnologia, definindo seus padrões de
interoperabilidade, promovendo a mesma visando a sua integral aplicação em todo o mundo.
Nessa ação de gestão da tecnologia, as ações do NFC Forum estão focadas em três frentes
principais:
 Especificações Tecnicas
No âmbito das especificações técnicas, apresentamos abaixo todas as especificações já
elaboradas e disponibilizadas as partes interessadas no desenvolvimento da tecnologia NFC:

Estatus da Especficações NFC Forum

Especificação Situação Data

Especificação tecnica de format de troca de dados

NFC Data Exchange Format (NDEF) Technical Specification Adopted 24-JUL-2006

Especificação tecnica de tipo de tag NFC Forum

NFC Forum Type 1 Tag Operation Specification 1.1 Adopted 13-ABR-2011
NFC Forum Type 2 Tag Operation Specification 1.1 Adopted 31-MAI-2011
NFC Forum Type 3 Tag Operation Specification 1.1 Adopted 28-JUN-2011
NFC Forum Type 4 Tag Operation Specification 2.0 Adopted 28-JUN-2011

Especificação tecnica de definição de tipo de registro

NFC Record Type Definition (RTD) Technical Specification Adotada 24-JUL-2006
NFC Text Record Type Definition (RTD) Technical Specification Adotada 24-JUL-2006
NFC URI Record Type Definition (RTD) Technical Specification Adotada 24-JUL-2006
NFC Smart Poster Record Type Definition (RTD) Technical Specification Adotada 24-JUL-2006
NFC Generic Control Record Type Definition (RTD) Technical 9-AGO-2012
Retirada
Specification
NFC Signature Record Type Definition (RTD) Technical Specification Adotada 18-NOV-2010

Especificação tecnica Referencia de Aplicações

NFC Forum Connection Handover 1.2 Technical Specification Adotada 7-JUL-2010

Especificação tecnica de protocolo

NFC Logical Link Control Protocol (LLCP) 1.1 Technical Specification Adotada 20-JUN-2011
NFC Logical Link Control Protocol (LLCP) 1.0 Technical Specification 11-DEZ-2009
Adotada
(obsoleta)
NFC Digital Protocol Technical Specification Adotada 17-NOV-2010
NFC Activity Technical Specification Adotada 18-NOV-2010
NFC Simple NDEF Exchange Protocol (SNEP) Technical Specification Adotada 31-AGO-2011
NFC Analog Technical Specification Adotada 7-JUL-2012
NFC Controller Interface (NCI) Technical Specification Adotada 6-NOV-2012
NFC LLCP to OBEX Protocol Binding Candidate Technical Specification Aprovada 20-NOV-2012

Documentos NFC candidatos

Bluetooth Secure Simple Pairing Using NFC Aprovada 1-NOV-2011
Personal Health Device Communication (PHDC) Candidate Technical
Aprovada 9-OUT-2012
Specification

Figura 10: Especificações do NFC Forum

Fonte: http://www.nfc-forum.org/join
Última atualização: 7-NOV-2012
 31

 Programa de Certificação
Os membros do NFC Fórum atuam no desenvolvimento e na disponibilização
ao mercado de produtos que estejam em conformidade com as especificações tecnicas
do NFC Fórum através da participação no Programa de Certificação. Abraçando
integralmente o Programa de Certificação, o membro do NFC Fórum, encurta o
processo de adoção do produto, reduzindo os custos de adoção, e fazendo as
implementações do produto de forma mais fácil integração com as organizações
parceiras.
A certificação é concedida por meio de um processo de teste de alto nível para
implementações que atendam os requisitos do dispositivo NFC Fórum. Um dispositivo
NFC Forum é um dispositivo capaz de operar em modo Peer-to-Peer e/ou leitor-
escritor NFC Forum que também podem apoiar o modo de emulação de cartão NFC.
As empresas não podem reivindicar o cumprimento do Fórum NFC, sem concluir com
sucesso o processo de certificação.
 Programa de Certificação da marca NFC Fórum
O NFC Forum Mark é um indicador de que uma implementação dispositivo
habilitado para NFC tenha cumprido as normas do Programa de
Conformidade do Fórum NFC. A utilização da marca de certificação é
concedida a membros do NFC Forum uma vez que o programa de
Certificação NFC Fórum processo seja concluído.
 Programa de Certificação da marca NFC Fórum
A Marca de Certificação do NFC Forum pode ser exibida em garantia,
materiais de vendas, sites e embalagens de produtos, significando assim a
credibilidade global de todo ecossistema NFC que produtos irão executar de
forma consistente.
 Documentação sobre a Marca de Certificação do NFC Forum
O documento sobre a Marca de certificação NFC Forum , apresenta as
diretrizes de e como usar a Marca de Certificação em materiais de apoio,
embalagem e documentação para mostrar o seu produto atende aos padrões
globais.
 Programa de Conformidade
O Programa de Conformidade do Fórum NFC estabelece uma base sólida para a
interoperabilidade em soluções de serviço com tecnologia NFC e promove um padrão
de ouro de confiança e credibilidade para o avanço da tecnologia NFC.
Ao abraçar plenamente o Programa de Conformidade do Fórum NFC, os membros
asseguram um amadurecimento com qualidade do Ecossistema NFC.
A participação no programa de Compliance Fórum NFC está disponível apenas para
organizações membros do NFC Forum. As empresas interessadas em se tornar
membros do NFC Fórum Membros devem visitar a pagina http://www.nfc-
forum.org/join para obter os requitos de ingresso.

Componentes do Programa
O NFC Fórum opera dois programas para alcançar o objetivo de interoperabilidade:
 NFC Forum de Certificação
O programa de certificação do Fórum NFC confirma o cumprimento de uma
implementação segundo as especificações do NFC Forum., essas conformidade
fornece consistência ao comportamento dos componentes que compoem os
dispositivos habilitados para NFC e estabelece a base para a interoperabilidade.
 NFC Forum Plugfests
Os NFC Plugfests Fórum teem como objetivo focar a interação bem-sucedida
entre os dispositivos habilitados com NFC.Estas sessões especiais
 32
proporcionam um ambiente seguro para os desenvolvedores verificarem o
nível de interação de sua implementação específica de NFC. A oportunidade de
demonstrar como os dispositivos vão trabalhar em um ambiente do mundo real
economiza tempo e dinheiro.

4.1.7 PCI - INDÚSTRIA DE CARTÕES DE PAGAMENTO

O grupo formado pelas empresas que controlam a indústria mundial de cartões:
American Express, Discover Financial Services, JCB International, MasterCard Worldwide e
Visa Inc, criou em 2006 um conjunto de padroes tecnicos e operacionais que visam dar
garantia de segurança as transações realizadas com cartões de crédito ou débito, gerando
assim um governo efetivo da tecnologia aplicada com vistas a redução de fraudes e roubos.
Essas especificações cobrem toda a cadeia que envolve o ecosistema de cartões e todos os
agentes envolvidos. Assim nasceu o PCI Security Standards Council, que mantem padrões de
seguranção aplicados a toda a cadeia de pagamentos, desde o armazenamento das
informações, passando pelo processamento até a transmissão das mesmas.
O PCI Security Standards Council oferece padrões robustos e abrangentes e materiais
de apoio para melhorar a segurança dos dados do cartão de pagamento. Estes materiais
incluem um quadro de especificações, ferramentas, medidas e recursos de apoio para ajudar as
organizações a garantir o manuseio seguro de informações do titular do cartão a cada passo de
utilização do mesmo.
O destaque do trabalho é o Padrão de Segurança de Dados PCI (PCI DSS), que
conjunto de informações e melhores práticas para a gestão de um processo robusto de
segurança de dados aplicado a meios de pagamento por cartão, cobrindo todo do ciclo que vai
da prevenção, detecção e reação apropriada contra incidentes de segurança da informação.
Para os fornecedores de dispositivos e fabricantes, o Conselho fornece os requisitos de
segurança da transação PIN (PTS), que contempla um único conjunto de requisitos para todos
os números de identificação pessoal (PIN) terminais, incluindo dispositivos de POS,
criptografia PIN pads e terminais de pagamento autônomos.
Para ajudar os fornecedores de software e outros a desenvolver aplicativos de
pagamento seguros, o Conselho mantém o Pagamento Application Data Security Standard
(PA-DSS) e uma lista de aplicativos de pagamento validados.
Dentro do escopo de soluções com tecnologia NFC, os padrões do PCI são requisitos
obrigatórios, pois quailquer empresa que deseje atuar no mercado de meios de pagamento
eletrônicos, de uma forma ou de outra vai ter que estar em conformidade com esses padrões.
Fonte: https://www.pcisecuritystandards.org/organization_info/index.php
Acessado em 10/04/2013 as 15:18
4.1.8 O FIPS
É a o acronimo para “Federal Information Processing Standards” que é um conjunto
de padrões de segurança desenvolvidopelo Instituto Nacional de Padrões e Tecnologia (NIST)
que publica a série oficial de publicações relacionadas com as normas e diretrizes criadas para
melhorar a utilização e gestão de sistemas de telecomunicações e de informática relacionados
no Governo Federal dos EUA. O NIST, orgão ligado a secretaria de comercio, através de seu
Laboratório de Sistemas de Computador, fornece liderança, orientação técnica e coordenação
de esforços do Governo no desenvolvimento de normas e diretrizes nestas áreas.
A atuação do NIST dentro do ecossistema NFC esta relacionado a FIPS PUB 140-1
denominada “SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES”, publicada em
11 janeiro de 1994 e que tem o seguinte escopo, conforme definido pelo documento:

Esta norma especifica os requisitos de segurança que devem ser satisfeitos

por um módulo criptográfico utilizado dentro de um sistema de segurança
que protege a informação não classificada nos sistemas informáticos e de
telecomunicações (incluindo sistemas de voz). A norma prevê quatro níveis
crescentes e qualitativos de segurança: Nível 1, Nível 2, Nível 3 e Nível 4.
 33
Estes níveis destinam-se a cobrir uma ampla gama de potenciais aplicações e
ambientes em que módulos criptográficoa podem ser utilizados.
Os requisitos de segurança cobrem áreas relacionadas ao design seguro e a
implementação de um módulo criptográfico. Estas áreas incluem o projeto
básico e documentação, interfaces de módulos, funções e serviços
autorizados, segurança física, segurança de software, segurança do sistema
operacional, o gerenciamento de chaves, algoritmos criptográficos,
interferência eletromagnética / compatibilidade eletromagnética (EMI /
EMC), e autoteste. Esta Norma substitui a norma FIPS 140, Requisitos de
segurança para Uso dos equipamentos do Padrão de Criptografia de Dados,
em sua totalidade.
Fonte: SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES
FIPS PUB 140-1 – NIST, Pag 1, 1994.

A norma FIPS PUB 140-1 faz referencia a outras FIPS e outras publicações
relacionadas que compõem a regulamentação do tema, são os seguintes documentos:
a) FIPS PUB 46-2, Data Encryption Standard.
b) FIPS PUB 48, Guidelines on Evaluation of Techniques for Automated Personal
Identification.
c) FIPS PUB 74, Guidelines for Implementing and Using the NBS Data Encryption
Standard.
d) FIPS PUB 81, DES Modes of Operation.
e) FIPS PUB 83, Guideline of User Authentication Techniques for Computer Network
Access Control.
f) FIPS PUB 112, Password Usage.
g) FIPS PUB 113, Computer Data Authentication.
h) FIPS PUB 171, Key Management Using ANSI X9.17.
i) FIPS PUB 180, Secure Hash Standard.
j) Special Publication 500-157, Smart Card Technology: New Methods for Computer Access
Control.
k) k. Special Publication 800-2, Public Key Cryptography.
l) Federal Information Resources Management Regulations (FIRMR) subpart 201.20.303,
Standards, and subpart 201.39.1002, Federal Standards.
Fonte: http://csrc.nist.gov/publications/PubsFIPS.html
Acessado em 10/04/2013 as 20:30

4.1.9 O COMMON CRITERIA

O é um acordo internacional de cooperação tecnica, conforme descrito no documento
titulado “ARRANGEMENT on the Recognition of Common Criteria Certificates In the field of
Information Technology Security” publicado no ano de 2000 pelo Common Criteria e
disponível para consulta pública. No documento estão definidos os seguintes objetivos:
Objetivos do Acordo
Os participantes deste acordocompartilha os seguintes objectivos:
a) Assegurar que as avaliações de Tecnologia da Informação (TI) de
produtos e perfis de proteção são realizadas com padrões elevados e
consistentes com vistas a contribuir significativamente para
confiança na segurança destes produtos e os perfis;
b) Melhorar a disponibilidade, a segurança avançada de produtos de TI
e de perfis de proteção avaliados;
c) Eliminar a carga de duplicidade de avaliações de produtos de TI e
perfis de proteção;
d) Melhorar continuamente a eficácia e custo-efetividade da avaliação e
do processo certificação / validação para produtos de TI e perfis de
proteção.

O objetivo do presente Acordo é promoção desses objetivos, trazendo uma

situação em que produtos de TI e perfís de proteção, que obtenham um
certificado Common Criteria podem ser adquiridos ou utilizados sem a
necessidade de uma avaliação mais aprofundada.
 34
Destina-se a servir de base para confiança na fiabilidade dos julgamentos em
que o certificado original esta fundamentado na exigência que a certificação /
validação Corporal (CB) da emissão de certificados Common Criteria deve
atender aos padrões elevados e consistentes.
É provável que alguns sistemas governamentais sensíveis serjam adquiridos,
certificados e reconhecidos tendo como base outro acordo separado (acordos
bilaterais ou multilaterais). O presente acordo não restringe os tais. Em
particular, as exceções descritas no artigo 3 º não se aplicam a quaisquer
acordos negociados separadamente.
Aceita-se que tanto governamentais como não-governamentais CBs sejam
potencialmente capazes de realização de certificação de confiança / validação
e que é necessário prever para ambos os tipos de organização. No entanto,
reconhecendo certificados emitidos em outras nações envolve decisões e
compromissos que são específicos para o governo. As funções de emissão e
reconhecendo destes certificados estão assim distinguidas neste Acordo.
Fonte: http://www.commoncriteriaportal.org/files/operatingprocedures/cc-recarrange.pdf
Pagina 4, acessado em 10/04/2013 as 22:30

São os seguintes paises que participam desse acordo do Commom Criteria:

 Defence Signals Directorate and Government Communication Security Bureau
Australia and New Zealand
 Communications Security Establishment
Canada
 Ministry of Finance
Finland
 Service Central de la Sécurité des Systèmes d'Information
France
 Bundesamt für Sicherheit in der Informationstechnik
Germany
 Ministry of Interior
Greece
 Presidenza del Consiglio dei Ministri - Autorità Nazionale per la Sicurezza
CESIS III Reparto - UCSi
Italy
 Ministry of the Interior and Kingdom Relations
The Netherlands
 HQ Defence Command Norway/Security Division
Norway
 Ministerio de Administraciones Públicas
Spain
 Communications-Electronics Security Group - Department of Trade and
Industry
United Kingdom
 National Institute of Standards and Technology - National Security Agency
United States of America

4.1.10 MIFARE4MOBILE
O Grupo MIFARE4Mobile ™ é composto pelo principais atores da industria que
integram o ecosssistema do Near Field Communication (NFC), incluindo Gemalto, Giesecke
& Devrient, NXP Semiconductors, Oberthur Technologies e STMicroelectronics. O grupo
atua como um agente e gestor visando orientar a evolução da tecnologia MIFARE4Mobile.
MIFARE ™ tornou-se a tecnologia sem contato mais amplamente adotado no mercado
hoje e é um elemento essencial nos sistemas de transporte público, sistemas de bilhética,
programas de fidelização e gestão de acesso em todo o mundo.
 35
Inicialmente desenvolvido pela NXP Semiconductors, MIFARE4Mobile ™ é uma
tecnologia usada para gerenciar serviços baseados na tecnologia sem contato MIFARE em
dispositivos móveis NFC, atravez de serviços OTA (over-the-air) que possibilitam a
instalação e uso por meio da interação do usuário final da interface de usuário de um telefone
móvel.
MIFARE4Mobile ™ é uma tecnologia que oferece aos operadores de redes móveis,
gerentes de serviços confiáveis e prestadores de serviços com uma interface de programação
simples, interoperáveis para fornecimento remotamente e gerenciar serviços baseados
MIFARE em elementos incorporados seguras e cartões SIM de dispositivos móveis NFC
"over the air" (OTA).
As especificações de interface MIFARE4Mobile são agrupados em três categorias:
 APIs Interface do Usuário para moedeiro eletrônico
• Possibilitar ao usuário do dispositivo um acesso amigável e intuitivo para uso;
• Viabilizar al interoperabilidade entre os diferentes tipos de cartão;
• Processar o conteúdo do cartão na tela do telefone móvel de forma adequada,
segura e flexível.
 APIs do Gerenciador de Serviço Confiável (TSM) para Serviços OTA
• Permitir que os provedores de transações OTA acesso aos recursos do cartão
MIFARE de qualquer ES NFC de forma padronizada e segura;
• Garantir uma via única para a gestão do ciclo de vida da aplicação MIFARE no ES
NFC.
 APIs do ES NFC
• Proporcionar o acesso aos recursos de hardware das aplicações MIFARE
Fonte: www.mifare4mobile.org/
Acessado em 21/02/2013 as 10:00 hrs
 36

5 COMPREENDENDO O ECOSSISTEMA NFC

Dado as características únicas e a complexidade que envolve a tecnologia NFC foi
criado o Fórum NFC que tem por finalidade gerir todo o ecossistema que a envolve. Dentro
desse modelo de gestão, as organizações foram divididas de acordo com setor (ver gráfico
abaixo) de interesse que compõem esse ecossistema.

Figura 11: Ecossistema do NFC

Fonte: http://www.nfc-forum.org/aboutnfc/ecosystem/

Figura 12: Visão Geral do Ecossistema do NFC

Fonte: NFC_Forum_Mobile_NFC_Ecosystem_White_Paper.pdf
Essentials for Successful NFC Mobile Ecosystems - Ooutubro 2008 – NFC Forum
 37

5.1 OS CONCEITOS APLICADOS NA TECNOLOGIA

Para uma melhor compreensão dos conceitos aplicados na tecnologia NFC,
precisamos conhecer as partes interessadas no mesmo, bem como as suas relações dentro dos
processos diários que ocorrem no ecossistema do NFC. Para isso vamos discorrer sobre
aplicação da tecnologia ao sistema de pagamentos móveis. No gráfico abaixo, onde podemos
identificar cada um das organizações envolvidas, suas relações e os riscos envolvidos dentro
das mesmas. Dentro do conceito de segurança sabemos que a complexidade do ecossistema é
a maior inimiga da segurança, vejamos:

Figura 13: Relação entre partes interessadas do ecossistema NFC

Fonte: Day1_HadiNahari_Mobile&Network_Security.pdf
RSA CONFERENCE CHINA 2011 - Novembro, 2-3 – Beijing – China

Para uma melhor compreensão desse ecossistema e das relações entre as partes
interessadas, vamos conhecer os principais conceitos aplicados ao mundo da tecnologia do
NFC.

5.1.1 DOMÍNIOS DE SEGURANÇA

O conceito de domínios de segurança aplicado ao ES NFC é resultado da evolução
tecnológica, pois a aplicação de segurança em qualquer ambiente de TI significa maior custo,
o que não é diferente ao mundo dos cartões microprocessados.
Os conceitos de segurança aplicados no ambiente NFC passam pela aplicação do uso
de comunicações entre o microprocessado do cartão e o ambiente externo, pois esse é o ponto
do processo sujeito a acidentes de segurança, pois em termos de transações financeiras a
segurança é questão crucial. Para este caso o uso do SCP, acrônimo de Secure Channel
Protocol, é a solução indicada, pois o mesmo utiliza uma estrutura de chaves públicas (PKI),
fator esse que só se tornou possível graças à evolução da tecnologia dos cartões
microprocessados, dado ao seu poder processamento elevado, como afirmam Konstantinos
Markantonakis, Keith Mayes, no documento SECURE CHANNEL PROTOCOL FOR
 38
MULTI-APPLICATIONS SMARTCARDS BASED ON PUBLIC KEY CRYPTOGRAPHY,
do Centro de Cartões inteligentes da Universidade de Londres:

Protocolos de canal seguro em cartões inteligentes microprocessados

baseados na criptografia de chaves públicas não são amplamente utilizados
devido principalmente a despesas de processamento introduzidas nos
microprocessadores de cartões inteligentes e as complexidades introduzidas
pelo funcionamento de uma infraestrutura PKI. Neste artigo analisamos a
importância dos protocolos de canal seguro de chaves públicas em cartões
inteligentes multiaplicação.
Acreditamos que o uso da tecnologia cartão inteligente
multiaplicação (por exemplo, a especificação de cartão inteligente
GlobalPlatform) deverá beneficiar mais das vantagens da criptografia de
chave pública, especificamente para o início e a manutenção de um canal
seguro. Este artigo apresenta um protocolo de criptografia baseado em chave
pública para entidade autenticadora, integridade de dados, segurança e
confidencialidade dos dados. O protocolo de canal seguro proposto utiliza
uma combinação de chave pública, chave secreta e a principal idéia por trás
da chave Diffie-Hellman protocolos de estabelecimento, a fim de alcançar os
objetivos desejados.
...
As vantagens e desvantagens de criptografia de chave pública foram
um tópico de discussão por muitos anos. O significado criptografia de chave
pública em cartões inteligentes, impoem certas restrições dada
complexidades dos microprocessadores de cartões inteligentes e da natureza
das infraestruturas na qual operam.
Alguns anos atrás, o principal fator retritivo a utilização da
criptografia de chave pública em microprocessadores de smart card foi o o
poder de processamento limita da tecnologia. No entanto, após uma série de
melhorias significativas em relação ao hardware e ao nível de software, o
desempenho de criptografia de chave pública em cartão inteligente
microprocessado melhorou significativamente. Além disso, o custo de um
cartão inteligente não é substancialmente influenciado pela existência de a
funcionalidade de chave pública necessária, mas sim de outros fatores (ie
principalmente, a quantidade de memória).

Fonte: Secure Channel Protocolfor multiaplication Smartcards based on Public Key Cripography
Konstantinos Markantonakis, Keith Mayes - Smart Card Center, London University

Conhecendo a base do conceito sobre a qual pousa a questão dos domínios de

segurança no ES do NFC, vejamos como se aplica o mesmo no ambiente do ES NFC.
Documento da GolbalPlatorm sobre o assunto nos da um boa quantidade de informações:
A especificação do cartão GlobalPlatform 2.2 propõe um novo
modelo de negócio, permitindo um prestador de serviços para gerenciar uma
parte designada do cartão de forma completamente autônoma. O
gerenciamento de conteúdo confidencial do cartão fornece um mecanismo
padrão para:
 Efetuar a carga de forma confidencial; do conjunto de chaves de um
domínio de segurança atraves de uma entidade terceira;
 Efetuar a carga de forma confidencial do código do aplicativo NFC;
 Enviar de forma confidencial Scripts APDU scripts a um domínio de
segurança para executar a personalização de aplicativos ou efetuar o
gerenciamento de conteúdo do cartão.

Duas principais alterações foram necessárias para alinhar a

especificação GlobalPlatform atual com as necessidades provocadas pelo
presença de novos atores e papéis no ecossistema NFC foram identificados.
A primeira mudança é a adição da Autoridade de Controle (CA)
para gerenciar o intercâmbio com uma entidade terceira, opcional, quando
 39
exigido pelo modelo de implantação. A autoridade de controle suporta duas
responsabilidades e pode ser realizada por dois atores diferentes:
 Uma é a de controlar um específico domínio de segurança de
autoridade controladora que pode permitir a carga de chaves
confidenciais (CKLA) utilizadas para dar carga inicial ao um
domínio de segurança.
 A outra é a de controlar um domínio de segurança específico
usado para permitir padrão de autenticação de dados Mandatário
(Autoridade DAP Mandatário). O modelo de implantação DAP
Mandatário permite que uma entidade possa assinar de forma
segura todos os códigos de aplicação antes de ser carregada em
um cartão GlobalPlatform.

Em um ambiente NFC, para garantir que um sistema com a correta

responsabilidade de atuação, o papel CA não pode ser realizado por uma
organização que exerça o papel de personalizar e emitir cartões ou nas função
de funções de gerente SSD.
A segunda mudança é a necessidade de ter um Gerente de domínio
suplementar (SSD) diferente do já definido "emissor do cartão". Em muitos
casos, o papel do gerente de SSD não será para gerenciar aplicativos no
cartão, mas sim gerenciar um domínio de segurança intermediária, gestão do
conteúdo do cartão e executar serviços de criptografia para confidencialidade.
O gerente SSD é responsável pela gestão de domínios de segurança
instanciados em um cartão. Ele detém as chaves de uso do protocolo de canal
seguro (SCP02 e / ou SCP80) ou certificados que pertencem ao domínio de
segurança do qual é responsável. Ele também é responsável por gerenciar a
comunicação segura com o domínio de segurança. O gerente SSD pode ter a
capacidade de carregar, instalar, extraditar ou personalizar aplicações em
nome do prestador do serviço ou do emitente que concedeu o direito de fazê-
lo.
Fonte: GlobalPlatform_NFC_Mobile_White_Paper.pdf
Secure Element Management and Messaging – GlobalPlatform – Abril 2009

Para que possamos compreender com profundidade a questão dos domínios de

segurança, se faz necessário conhecermos dois itens importantes, como esta descrito no
documento EMV Profiles of GlobalPlatform UICC Configuration, Publicado pela EMVCo
em dezembro de 2010:
A UICC GlobalPlatform serão implementadas de acordo com um dos
seguintes perfis. Esses perfis foram definidos para permitir que os emissores
de cartões e operadoras de telefonia possam escolher os produtos que
correspondam às suas necessidades de segurança e de negócios.
 EMV GlobalPlatform UICC Perfil Básico: Esta implementação requer
apenas um ISD seja inicializado e aplica-se quando todo a gestão do
conteúdo é realizada pela emissor, nesse caso a Operadora de celular.
 EMV GlobalPlatform UICC Advanced Profile: Esta implementação requer
inicialização de dois (ou mais) Domínios de segurança com capacidade de
gerenciamento de conteúdo (por exemplo, um ISD e um SSD adicional
com capacidade de gestão delegada). Este perfil é destinado
casos de Gerenciamento de Conteúdo do SIM-NFC é realizada pela
Operadora de Celular e outros TSMs certificados. Para garantir a correta
separação, o SSD adicional deve ser instalado e configurado no estado de
PERSONALIZADO antes da entrega do SIN-NFC a Operadora de Celular.

Fonte: UICC_Profiles_v1.0_Dec2010_2011112312532964.pdf
EMV Profiles of GlobalPlatform UICC Configuration – EMVCo – Dez 2010

O primeiro ponto é a questão do profile de configuração incial de um SIM-NFC é muito

importante no processo de uma implementação do ambiente NFC, pois ele é a base sobre a
qual se apoiam as demais ações.
 40
O profile de configuração incial de SIM-NFC é questão chave no processo de uma
implementação do ambiente NFC, pois ele é a base sobre a qual se apoiam as demais ações.
Assim podemos resumir as informações acima de forma mais clara:
Profile
Funcionalidade
Basico Avançado
Quantidade de domínios de segurança com atribuição de
gestão de conteudo do cartão Um Dois ou mais

Domínio de Segurança Adicional Opcional Mandatório

Canais lógicos adicionais Mandatório Mandatório
Figura 14: Tabela de Funcionalidades x Perfis para SIM-NFC
Fonte: UICC_Profiles_v1.0_Dec2010_2011112312532964.pdf
EMV Profiles of GlobalPlatform UICC Configuration – EMVCo – Dez 2010

O segundo ponto, se refere aos tipos de domínios de segurança do ES NFC definidos

visando atender as todas as necessidades de segurança, controle e gerenciamento.
Oberservando a figura abaixo podemos ter uma visão mais detalhada:

Figura 15: Hierarquia dos Domínios de Segurança NFC

Fonte: GlobalPlatform_NFC_Mobile_White_Paper.pdf
Secure Element Management and Messaging – GlobalPlatform – Abril 2009

Os domínios de Seguraça de um ES NFC tem como função a organização da memória

de segurança do ES NFC. Essa oragnização se baseia em dois principios:
 Direito de propriedade do espaço de memória que também define que é o dono do
ES NFC.
 Direito de uso que define as ações que poderão ser executas e controle de acesso as
áreas de memória que define que tem direito a fazer o que.

Quanto a características os domínios de segurança são classificados da seguite forma:

 Domínio de segurança do emissor: è o dominio de segurança que define que só
poderá ter acesso quem o criou, pois só o mesmo possui as chaves de acesso ao
mesmo.
Ex: Domínio de Seguraça do Emissor: Issuer Security Domain (ISD)
 41
O Emissor é definido como aquele que detem o poder máximo sobre todo o ES
NFC, somente ele possui direito de acesso ao ISD, como também o poder de
delagar o acesso ao mesmo a outras organizações que atuam no gerenciamento do
ES NFC.
 Domínio de segurança suplementar ou secundário (SSD): è o dominio de
segurança criado pelo emissor para atender as demandas dos seguintes
organizações que atuam no ambeinte do NFC:
 Autoridade de controle: è uma organização autonoma que exerça o controle de
forma a poder validar a operação de uma isntalação que opera serviços de
NFC- Controlling Authority Security Domain (CASD);
 Gestor Confiável de Serviços: è a organização que gerenciam operação de uma
isntalação que opera serviços de NFC- Trusted Security Security Domain
(TSD);
 Provedores de aplicativos: è uma organização que atua no desenvolvimento e
distribuição de aplicações de serviços de NFC- Aplication Provider Domain
Security (APSD).

Ainda dentro do conceito de domínio de segurança, temos o tema do canal seguro de

comunição, denominado de Secure Channels Communication que são criados entre o
dispositovo e ES, através do protocolo de canal seguro (SCP) especificado e mantido pela
GlobalPlatform. Esses canais seguros provem:
 Autenticação de acessos;
 Confidencialidade na comunicação;
 Integridade das informações e origem dos dados de autenticação;
 Autorização para o gerenciamenmto de conteúdo dos cartões.

Cada domínio de segurança no momento sua criação recebe uma configuração de

chaves de criptografia que lhe dão os privilégios necessários para desenvolver seu trabalho.
Essa configuração direciona qual protocolo será utilizado no processo de comunicação:
 Protocolo de canal seguro (SPC) SCP01 e SCP02:
 Gerenciamento de chaves,
 Comandos de inicialização dos canais seguros,
 Inicio e fim de sessão (SCP02 somente).
 Protocolo seguro simetrico (SCP02 somente)
 Mensagens seguras: iniciadas pela autencicação ou de acordo com as regras definidas
na configuralçai do nomínio de segurança relacionado.

Outros Protocolos:
 SCP03 : SCP com AES - Asymmetric secure channel protocol
 SCP10 : SCP com PKI (GlobalPlatform v2.2)
 SCP11 : SCP com ECC
 SCP80 : SCP com ETSI OTA
 SCP81 : SCP com TLS
 42

5.1.2 APLICAÇÕES
Dentro do tema das aplicações, o ambiente do NFC possui um modelo conceitual que
apresenta o ambiente que envolve a tecnologia e o ambiente no qual ela esta integrada,
possibilitando assim uma melhor compreensão das partes e das ações envolvidas, vejamos a
figura abaixo:

Figura 16: Modelo Conceitual do ambiente NFC

Fonte: NFC_Forum_Mobile_NFC_Ecosystem_White_Paper.pdf
Essentials for Successful NFC Mobile Ecosystems = White Paper- Outubro 2008

A figura nos dá uma visão e apoio na compreensão do ecossistema móvel NFC, ponta-
a-ponta, que possibilita a ver a dimensão e o contexto do ambiente, das aplicações com vistas
a gerir o ambiente que como força a interoperabilidade.
Podemos ver como as partes da tecnologia são dispotas, que seja os serviços existentes e
futuros são construídos.
O quadro apresenta-se como uma referência para o trabalho de normalização, ajuda o
público a compreender as relações com outros fornecedores de tecnologia e como as
organizações de desenvolvimento de normas e fóruns do setor.
O quadro das funcionalidades NFC para o ambiente do celular que compoem u
sistema de ponta-a-ponta é composto por três grupos:
 Funcionalidades de telefone celulare NFC;

 Funcionalidades do sistema do servidor de retaguarda;

Essas funcionalidades não estão indicadas explicitamente no modelo conceitual do
NFC, mas, são requisito obrigário para a criação de uma solução NFC de ponta-a-
ponta. Principalmente pelo fato de que a evolução tecnica do telefone celular
possibilita tanto a gestão remota de multiaplicações e getão remota do usuário.
Exmplo:
 Instalação: Funcionalidade que permite ao usuário efetuar baixa de um
aplicativo móvel do provedor de serviços de forma segura e finalizar a
instalação do mesmo em seu telefone móvel NFC. Algumas aplicações podem
 43
ser armazenadas no AEE (por exemplo, uma aplicação de identificação do
usuário UI) e outros no ambiente confiável de execução TEE (Exemplo: a
assinatura de um serviço NFC de cartão crédito);
 Provisão: Essa funcionalidade atua na criação de um SSD para o atendimento
das necessidades de alocação e reserva do espaço de memório do ES NFC para
receber e utilizar o serviço. Essa ação será feita pelo emissor do ES NFC ou
por uma organização por ele autorizada a fazê-lo.
 Personalização: Funcionalidade que executa a configuração de dados
específicos do usuário para um correto funcionamento do aplicativo
contratado.
 Abrir / Fechar: Funcionalidade que efetua a abertura, bloqueio ou a excluisão
de aplicativo anteriormente provisionado conforme uma correspondente
solicitação a pedido de um usuário ou um provedor de serviços.
 Informações: Funcionalidade utilizada para fornecer ou obter informações a
partir de um telefone celular NFC.
 44

5.1.3 GESTOR CONFIÁVEL DE SERVIÇO

Para uma melhor compreensão do significado do que é um gestor confiável de
serviços (TSM), vamos observar o gráfico abaixo, extraído do documento publicado pela
Global Platform, pelo grupo UICC System Role Task Force em Abril de 2009:
.

. Figura 17: A função do TSM dentro do ecossistema NFC

Fonte: White Paper “Secure Element Management and Messaging” - GlobalPlatform_NFC_Mobile_White_Paper.pdf
RSA CONFERENCE CHINA 2011 - Novembro, 2-3 – Beijing – China

No desenho a esquerda da figura, vemos um modelo sem a presença de um TSM, no

qual as partes envolvidas no ecossistema necessitam ter para cada partes com a qual se
relaciona, um modelo de comunicação e integração dos seus ambientes, o que obviamente vai
levar a uma situação mais complexa, com maiores possibilidades de ocorrências de riscos
para a operação do sistema. Assim surge o conceito de TSM que nada mais que um agente
confiável para todas as partes envolvidas e sobre o qual se concentra toda a responsabilidade
de integração entre as parte envolvidas, permitindo uma padronização de interfaces e regras
de conformidade e governo dos processos decorrentes da operação. Notamos que no
ecossistema NFC existe a possibilidade da coexistência de mais de um TSM.
O Trusted Service Manager (TSM) fornece um ponto de contato entre prestadores de
serviços e Telefones Celulares NFC. Os provedores de serviços pode oferecer aos usuários
funcionalidade de gerenciamento de multi-aplicação remota através o TSM. Esta nova
funcionalidade inclui o seguinte:
 Personalizar, Provisionar e/ou Remover aplicações;
 Gestão do Ciclo de vida das aplicações
 Tranasções OTA(Over-The-Air)
 Emissão e gestão de um ambiente de execução de confiança;
 Areas de atribuição de confiança dentro de um ambiente de execução de confiança
para um serviço específico;
 Gerenciamento de chaves para um ambiente de execução de confiança;
 Baixar com segurança aplicações para telefone celulares NFC;
 Bloqueio, desbloqueio e exclusão de aplicações de acordo com as solicitações de
um usuário ou prestador de serviços;

Estas funcionalidades podem ser realizadas por operadores de telefonia celular,

provedores de serviços ou mesmo atracez de organizaçãoes terceiros, e todas as funcionalides
podem, em parte ou integral podem ser delegadas para uma outra organização.
 45
Abaixo temos o papel destacado do TSM dentro do ecossistema NFC, neste caso esta
sendo apresentado o modelo de tecnologia NFC que utiliza o SIM-NFC, ou seja, o elemento
seguro esta integrado ao SIMCard de uma operadora de telefonia móvel.

Figura 18: Relação entre partes interessadas do ecossistema NFC

Fonte: Day1_HadiNahari_Mobile&Network_Security.pdf
RSA CONFERENCE CHINA 2011 - Novembro, 2-3 – Beijing – China

O ecossistema NFC móvel exige a interconexão de várias entidades ou atores,

provenientes de diferentes ambientes empresariais e utilizando sistemas heterogêneos,
visando a facilitação de forma segura e confiável na troca de dados críticos para suportar a
funcionalidade do negócio. Isso exigirá mudança nos processos correntes para que a nova
funcionalidade flua de forma adequada.
Por exemplo: Permitir que configuração (que vai desdo o processo de aquisição do
serviço até a sua configuração final no aparalhoe celular do usuário) de um serviço móvel via
atransação Over-the-Air (OTA), mouda os fluxos dos processos atuais e as trocas de
informações da seguinte forma:
Existente: Provedor de serviço para o cartão através de um bureau de personalização;
Novo: Provedor de serviço para o cartão que esta sobr o controle de uma operadora de
serviço móvel de celular através de uma transação OTA as ser integralmente gerenciada pelo
gestor confiável de serviços (TSM).
Os principais atores que participam dos processos dentro do ecossistema NFC móvel
aplcaido ao modelo SIM-NFC são os seguintes:
 As operadoras de telefonial móveil (MNO), que são as proprietárias do cartão
SIM-NFCe também, na maioria dos casos, atuarão com ambientes TSM próprios;
 Provedores de Serviço (SP): Bancos, empresas de transportes, varejistas, etc,
prestando um serviço para os usuários e precisam ter sua aplicação disponibilizada
no cartão SIM-NFC das MNOs;
 Gestores Confiáveis de Serviços (TSM), que atuam como elo entre a SPs e MNOs
fornecendo a capacidade técnica de:
 Permitir que o MNO enviar mensagens para o SP
 Permitir que a MNO executar o gerenciamento de serviços de NFC
 Permitir que o SP enviar mensagens para a MNO
 Permitir que a SP realizar o gerenciamento de serviços de NFC
 46

 Opcionalmente, têm papéis comercias (agregador, intermediário, agente

comercial, suporte ao usuário final, etc)
 Atuar como Autoridade Certificadora na carga inicial das chaves criptograficas
confidenciais (CKLA), que é responsável por efetuar a gravação fisica de um
conjunto de chaves criptográficas em um cartão GlobalPlatform de forma segura e
dentro dos padrões exigidos legalemente.

Na implantação de uma estrutura de TSM pode se optar por um dos três modelos de
negócio definidos para o gerenciamento de aplicativos NFC, conhecido como. Na figura
abaixo, vemos os três modelos aplicados a um ambiente de NFC com o elemento seguro
intgrado ao SIMCard, logo teremos sempre o papel da Operadora de Celular como ponto
principal, por ser a mesma a emissora do SIM-NFC. São eles:
 Modo simples
A função de gerenciamento do conteúdo do cartão somente poder ser realizado pela
Operadora de celular que é o emissor e detentor das chaves do domínio de segurança
do emissor (ISD), ficando a cargo do TSM efetua a verificação da carga do conteúdo
do cartão via padrão de autenticação de dados (DAP);
 Modo por delegação
A função de gerenciamento do conteúdo do cartão é delegada a um TSM com
preautorização da Operadora de celular que é o emissôr (ISD);
 Modo por autorização
Cartão de gerenciamento de conteúdo é integralmente delegada a um TSM

Figura 19: Modelos de atuação do TSM para gestão de aplicações

Fonte: GlobalPlatform_NFC_Mobile_White_Paper.pdf
Secure Element Management and Messaging – GlobalPlatform – Abril 2009

O ambiente de tecnologia NFC, dado a sua base de criação ser o telefone móvel,
assume a dinamica do segmento, ou seja, cada dia algo novo aparece. Como o aparecimento
de novas aplicações e atualizações, como ja ocorre no momento atual de operação sem
soluçoões de NFC.
Diante desse dinamismo temos questões importantes que se mostram como os grandes
desafios que a tecnologia vai enfrentar:

 Software mal intencionado e vírus;

 Privacidade;
 Fraudes financeiras;
 Proteção de conteúdo;
 47
 Dados corporativos;
 Espaço seguro

A organização que atua no papel de TSM requer um ambeinte tencológico apropiado

para essa tarefa. Esse embiente tem com base a junlçao de tres
ambientes que compõem a estrutura de segurança que visam dar confiança na utilização de
um telefone celular:
 Sistema Operacional Rico (Rich OS): um ambiente criado para proporcionar
versatilidade e riqueza onde as aplicações do dispositivo, como Android,
Symbian OS e Windows Phone, por exemplo, são executados. Mais um porta
aberta para festa de downloads de aplicativos, que aponta para uma situação de
risco em relação a sergurança.
 Ambiente de Execução Confiável ou Trusted Execution Environment (TEE):
Composto por software e hardware, o TEE oferece um nível de proteção contra
ataques de software, gerado no Rich OS. Ela auxilia no controle de direitos de
acesso e locais de aplicações sensíveis, que precisam ser isolados do Rich OS.
Por exemplo, a TEE é o ambiente ideal para provedores de conteúdo,
oferecendo um vídeo por um período limitado de tempo que precisa para
manter o seu conteúdo premium (por exemplo, vídeo HD) como garantia que
ele não irá ser compartilhado de forma gratuita.
O TEE é um ambiente isolado que corre em paralelo com o Rich OS, servido
como prestardor de serviços de segurança para o mesmo. Mais seguro do que o
Rich OS, mas não tão seguro quanto o ES NFC, que oferece um nível de
segurança suficiente para um número significativo de pedidos. Portanto, o TEE
oferece “meio termo”' o nível alto a proteção do ES NFC e a baixa proteção do
Rich OS.
O TEE é agora uma parte essencial do ecossistema móvel. Ele oferece
segurança e proteção para todos os aspectos do dispositivo móvel - Celulares,
Rich OS e ES NFC - e satisfaz as necessidades das entidades envolvidas.
Os provedores de serviços, operadoras de redes móveis (MNO), sistema
operacional (SO), os desenvolvedores de aplicativos, os fabricantes de
equipamentos, os provedores de plataformas e os fornecedores de micro
controladores são todas as partes interessadas e, portanto, são compromissados
em ver de segurança implantada em conformidade com o padrão desenvolvido.
 Elemento Seguro NFC (ES NFC): Este componente esta descrito no item 8.2
deste documento.
 48

5.2 PLATAFORMA OTA

O ambiente de tecnologia NFC, possui integral dependencia com a tecnologia de
telefonia móvel, levando a herdar a dinamica do segmento, ou seja, cada dia algo novo
aparece. Como o aparecimento de novas aplicações e atualizações, como ja ocorre no
momento atual de operação sem soluçoões de NFC.
E dentro desse cenário, para que uma aplicação NFC chegue até o telefone celular de
um usuário qualquer, só é possivel com o uso da tecnologia Over-The-Air (OTA).
Tecnologia OTA atinge os utilizadores, independentemente de tempo e lugar. Os
usuários de aplicações NFC gerenciadas pela tecnologia OTA terão sempre as aplicações
NFC certas disponíveis para uso.
Com a tecnologia OTA, novas aplicações NFC são entregues ao ES NFC. Isto implica
que um sistema baseado em NFC seja capaz de se adaptar a um ambiente em constante
mudança. Os novos operadores podem ter seus aplicativos lançados sem problemas e os
participantes existentes podem atualizar e gerenciar suas aplicações como estas evoluem.
Porque a gestão é realizada OTA, o consumidor não precisa ir a uma loja física ou se veja
obrigado a conectar seu aparelho a uma estação de trabalho para atualizar as aplicações NFC
disponíveis.
Várias das soluções OTA de hoje exigem uma gestão transparente de elementos
múltiplos seguras, incluindo NFC onde existe uma mistura de diferentes elementos seguros.
Uma plataforma OTA deve administrar uma variedade de abordagens com o entendimento de
que alguns assinantes utilizar cartões MicroSD para NFC, enquanto outros usam UICCs ou
elementos de segurança incorporados.

Figura 20: Visão geral de uma plataforma OTA

Fonte: NFC_Forum_Mobile_NFC_Ecosystem_White_Paper.pdf
Essentials for Successful NFC Mobile Ecosystems = White Paper- Outubro 2008
 49

6 COMPONENTES DA TECNOLOGIA NFC

Os dispositivos com NFC, independentes da sua fabricação, são categorizados a partir de
dois Modos de Funcionamento:
 Passivo: um dos dispositivos emite o sinal de radiofrequência e o segundo apenas
recebe a informação. É o caso de um smartphone (receptor) lendo uma das Tags NFC
(emissor), ou com um cartão de acesso (emissor) sendo utilizado em uma catraca
(receptor). A comunicação aqui é de apenas uma via, pois a Tag não consegue receber
um sinal, apenas emitir.
Exemplo: Celular NFC acessando a informação de uma Tag RFID
 Ativo: neste modo, ambos os dispositivos geram e recebem o sinal de rádio. É o caso
de uma transação financeira entre dispositivos, no qual um smartphone recebe a
informação de um terminal (emissor) e em seguida emite a confirmação para o mesmo
equipamento.
Exemplo: Celular NFC efetuando o pagamento de uma compra em uma ljo através de
POS de venda de cartão de credito/debito.

Um dispositivo NFC carrega aplicações com diferentes finalidades e objetivos, tais

como: Cartão de acesso ao escritório, moedeiro eletrônico para pagamento de pequenas
despesas, entre outras finalidades, que são categorizadas em três Modos de Operação:
 Reader/Writer: Possibilita que o dispositivo NFC interaja com um dispositivo Tag
RFid. Os exemplos incluem telefones celulares habilitados para NFC utilizados para
Identificação e autenticação de controle de acesso ou mesmo para a captura de um
cupon de desconto disponível em um poster inteligente de divulgação de promoção;
 Card Emulation: Possibilita que o dispositivo atue como cartão sem contato e
operando com infraestrutura sem contato existente. Os exemplos incluem telefones
celulares habilitados para NFC utilizados para o pagamento, acesso e trânsito;
 Peer-to-Peer: Possibilita que o dispositivo atue como cartão sem contato e operando
com infraestrutura sem contato existente. Os exemplos incluem notebook contando
com impressoras ou compartilha fotos entre uma camera e um atelevisão.
Fonte: NFC_The_Evolution_Continues_WIMA_2011.pdf.
Koichi Tagawa - SONY Chairman, NFC Forum - WIMA, Monaco - Abril de 2011
 50

6.1 O MICROCONTROLADOR NFC

O PN532/C1 é a identificação dentro da NXP, sua criadora, do principal componente
da tecnologia, mais comumente chamado de Microcontrolador NFC. Podemos ver abaixo um
diagrama de bloco simplificado apresentando a composição interna do mesmo.
O PN532/C1 no univreso da tecnologia NFC e conhecido como NFC Controller
ContactLess Front-end ou pelo acrônimo CLF.
O CLF lida com a transmissão física de dados sobre interface de freqüência de rádio
(RF) que permite que o dispositivo móvel se comunicar via CLF usando os três modos
diferentes:
Emulação de cartão, leitor / gravador, e (opcionalmente) peer to modos de pares.

Figura 21: CLF PN532/C1 – Diagrama de bloco simplificado

Fonte: http://www.nxp.com/documents/short_data_sheet/PN532_C1_SDS.pdf

Vejamos com mais detalhes os itens que compõem esse importante componente da
tecnologia:
A. O FIFO permite uma transferência de dados de modo confiável do 80C51 à UCI e
vice-versa.
B. O CL UART lida com as exigências do protocolo para os sistemas de comunicação em
coooperação com o firmware apropriado.
C. A interface analógica lida com a modulação e demodulação do signals analógico para
o modo, o modo de leitor / gravador de cartão de emulação e esquema de comunicação
de modo NFCIP-1.
D. O detector de nível de RF detecta a presença de um campo de RF emitido pelo externo
da antena para o pino de RX.
E. O detector de modo de dados detecta a ISO / IEC 14443-A MIFARE, FeliCa
NFCIP-1 ou o modo, a fim de preparar o receptor interno para demodular os sinais que
são enviados para o PN532.
 51

6.2 O ELEMENTO SEGURO

Como já visto no item do Novo Padrão mundial, a maior parte dos agentes envolvidos,
tais como Global Platform, PCI, EMVCo, GMSA, entre outros, possuem regras de
certificação de ambientes físicos e lógicos seguindo as normas internacionais, dentre elas a
INTERNATIONAL STANDARD ISO/IEC 17799:2005.
O que tornou o tema da segurança da realização das transações financeiras em tempo
real e sobre tecnologia sem fio, comumente chamada de OTA, acrônimo para Over The Air
em Inglês, o maior desafio para o estabelecimento da tecnologia.
O resultado dos trabalhos questão foi a criação do componente denominado Secure
Element, ou elemento seguro que foi especificado, desenhado e implementado em uma
plataforma JavaCard. Uma boa definição para ES é a que consta no documento do Mobey
Forum, descrita a seguir:
O ES é uma plataforma (dispositivo ou componente) no qual os aplicativos
NFC (apps) podem ser baixados, personalizasos, instalados e gerenciados, de
preferência over-the-air (OTA). É uma combinação de hardware, software,
interfaces e protocolos que permitem o armazenamento seguro e o uso de
credenciais para os pagamentos móveis, autenticação e outros serviços. Os
ES podem ser classificados em três grupos:
 ES removível: cartões microSD seguros e cartões de circuito integrado
universal (UICCs) ou SIMCard;
 ES não removível são aqueles integrados ao hardware do disposivio
NFC;
 ES a partir de uma combinação de programas de software em hardware
dedicado, com o ambiente de execução confiável.

O provedor de serviços NFC pode escolher entre diferentes SEs para

construir um pacote de serviços. A escolha de SE terá um impacto
significativo sobre o seu modelo de negócio e sobre o nível de serviço que
deseja alcançar.

Fonte: Mobey Forum White Paper Business models for NFC payments.pdf
Mobey Forum Business Workgroup - Outubro de 2011 - www.mobeyforum.org

Figura 22: Componentes de um Elemento Seguro

Fonte: Secure_Elements_101_FINAL3_032813.pdf
Mobile/NFC Security Fundamentals Secure Elements - Smart Card Alliance Webinar - Março 28, 2013

Esse componente eletrônico possui uma arquitetura de Segurança que o qualifica para
a tarefa a que se destinha, vejamos:
 Co Processadores criptográficos: São aprimorados para o cálculo de algoritmos de
criptografia
 52
 Gerador Aleatório Verdadeiro: Bloco de hardware especial, que é responsável pela
geração de números aleatórios, os números aleatórios são fundamentalmente
necessários para a geração de chaves criptográficas em ambientes de cartões
eletrônicos, pois dão garantia de segurança.
 Unidade de Gerenciamento de Memória (MMU): Gerencia da memória de forma a
garantir o uso somente a quem de direito, pela inserção de barreiras físicas dentro da
memória do SE com a configuração do MMU via o ambiente operacional Java Card,
assegurando o acesso a ROM, RAM e EEPROM.

Esse ambiente possui dupla garantia de segurança, pois inclui a opção de configuração
via applet do JavaCard, de barreiras de proteção tanto por hardware como por software.
Lembramos que todas as ações dentro de do ES NFC, são realizadas pelas applets da
GlobalPlatform que tem a responsabilidade da gestão e manutenção das mesmas, sendo todas
assinadas digitalmente, o que amplia o rigor de segurança da informação aplicado ao
ambiente.

Figura 23: Diagrama da Arquitetura de Segurança do ES NFC

Fonte: Documento - Mobile NFC Secure UICC vs Secure IC.pdf
Infineon Technologies 2008 - Março 2008 – Bultel/Stafford

Dessa forma as informações sensíveis, tais como um número de conta e data de

validade, são armazenadas nessa memória protegida denominada Elemento Seguro,
componente eletrônico integrado no telefone NFC. Esta memória possui grande semelhança
com o chip de cartão inteligente micro processado utilizado para cartões de pagamento com
contato por bancos e operadores de cartão de credito; ou dos cartões SIM usados por
operadoras de telefonia móvel GSM como peça chave do processo de autenticação e
segurança das comunicações móveis.
 53

Figura 24: Opções para o Elemento Seguro NFC

Near Field Communication Research Lab - Hagenberg – Austria - www.nfc-research.at

Estão definidas 3 opções de integração do Elemento Seguro NFC ao conjunto de

hardware de um celular: Integrado ao SIMCard GSM da operadora, integrado a placa mãe do
celular ou integrado a um cartão micros. Para cada um deles existe um conjunto de benefícios
e também de restrições, conforme descrito no documento elaborado pelo Grupo de Trabalho
de Negócios do Mobey Forum, em outubro de 2011, titulado de Modelo de Negócios para
pagamento com NFC, a forma de integração do Elemento Seguro é o direcionador do modelo
de negócios a ser adotado. Isso dado a complexidade dos ecossistemas de pagamento bem
como do NFC, somado à força das relações entre as partes interessadas de cada ecossistema.
Alguns tópicos ainda permanecem em discussão ou ainda não existem indicações
claras sobre a sua aplicação dentro do ecossistema do NFC:
• Múltiplos ES NFC em um mesmo dispositivo;
• Operação integrada de múltiplos Gestores Confiáveis de Serviço (TSM);
• Papéis dos participantes do ecossistema NFC.
Em seguida, apresentamos uma abordagem mais clara de cada uma das opções
existente para a integração do ES NFC ao dispositivo móvel.
 54

6.2.1 INTEGRADO AO SIMCARD DA OPERADORA

A integração do ES NFC na arquitetura do hardware do UICC inclui o uso da interface
do SWP com o chip NFC no aparelho NFC, o suporte do BIP para melhorar a velocidade da
administração de OTA e o uso de protocolo de comucação que possibilite a troca de
mensagens entre serviço sem contato personalizado no SIM-NFC e o CLF (Controlador de
NFC).
O cartão microprocessado esta em conformidade com a especificação 2.2 da
GlobalPlatform o que dá a garantia de atuar com dados sensíveis de forma segura e confiável.

Figura 25: ES integrado no SIMCard da operadora celular

Fonte: Secure_Elements_101_FINAL3_032813.pdf
Mobile/NFC Security Fundamentals Secure Elements - Smart Card Alliance Webinar - Março 28, 2013

Possui suporte para uso de comandos proativos na execução de transações OTA e a

gestão de aplicações de provedor de serviços, permitindo que o usuário do sispositivo móvel
interaraja de forma simples durante a execução das operações, por exemplo: Informar o PIN
para personalização do ES NFC para a carga de um serviço contratado, como cartão de
crédito.
O fato do ES estar integrado ao SIMCard da operadora de celular, proporciona
vantagens significativas a solução NFC, como descritas abaixo:
 Dispositivo padrão no mercado internacional
 Fator crítico do sucesso da tecnologia ao nível mundial;
 Já possui base Global implantada.
 Plataforma de entrega de serviços
 Armazenamento e execução de várias aplicações NFC independentes.
 Permite outros tipos de serviços (Não NFC).
 Segurança
 Dispositivo de segurança inviolável;
 Carregamento e gerenciamento de amplicativo em ambiente confiável.
 Gerenciamento remoto
 Gerenciamento de aplicativos OTA (Over-the-Air);
 Download de aplicativo, personalização e gestão do ciclo de vida do serviço.
 Portabilidade
 Migração fácil de um dispositivo para outro
 Separação do dispositivo (selecionado pelo utilizador) e um serviço (por
exemplo: banco).
 Modo de Emergência
 Fonte de alimentação pode ser extraida do leitor NFC sem contato;
 55
 Permite operação com bateria fraca.

A única questão que tem criado fonte para negociações mais duras para algumas
soluções é devido ao fato de que a operadora de celular é a emissora do domínio de
sergurança do ES o que lhe confere poder absoluto sobre todo o modelo de negócio adotado,
como podemos ver na figura abaixo:

Figura 26: Ecossitema NFC com uso de ES SIM-NFC

Business models for NFC payments – Mobey Forum – Outybro 2011
Fonte: Mobey Forum White Paper Business models for NFC payments.pdf

6.2.2 INTEGRADO A PLACA MÃE DO DISPOSITIVO MÓVEL

Neste cenário, o SE é um chip embutido no aparelho e o emissor é o fabricante do
celular e também é o fornecedor da plataforma de serviços NFC. É importante notar, contudo,
que em alguns casos o fabricante do celular não é o fornecedor de plataforma, mas aparelhos
são fabricados com os requisitos do provedor de plataforma. Em tais casos, é o fornecedor de
plataforma que controla o acesso ao eNFC. Portanto, o fabricante de celular ou provedor de
plataforma é agora o ator principal e detem o domíno de segurança do emissor, que permite a
transferência segura do aplicativo NFC para o eNFC.
Como este é um modelo bilateral, uma relação comercial direta entre os principais
interessados, o Provedor de Serviços NFC e o fabricante do celular é assumida. Além disso,
são feitas as seguintes suposições:
• Tanto o Provedor de Serviços NFC como o fabricante do celular detem a
infraestrutura necessária para executar diretamente as ações tecnicas do ambiente
NFC. Não há necessidade de um TSM.
• Tanto o Provedor de Serviços NFC como o fabricante do celular possuem condições
para fornecer suporte ao cliente e gerenciar o ciclo de vida das soluções de serviços
NFC.
• O Provedor de Serviços NFC desenvolve a interface com o usuário.
 56

Figura 27: ES integrado no hardware do Celular

Fonte: Secure_Elements_101_FINAL3_032813.pdf
Mobile/NFC Security Fundamentals Secure Elements - Smart Card Alliance Webinar - Março 28, 2013

Nesse caso, como não existe a depencia do ambiente tecnológico da operadora de

celular, o papel de cada um passa a ser diferente, como mostra o diagrama seguinte:

Figura 28: Relações do Modelo de Negócios Bilateral

Business models for NFC payments – Mobey Forum – Pagina 44 - Outybro 2011
Fonte: Mobey Forum White Paper Business models for NFC payments.pdf

Dentro desse modelo visto no gráfico acima, o gerenciamento do ambiente NFC já

descrito, poderá fica tanto a cargo do fabricante do Celular, do Provedor de Serviços NFC ou
até mesmo de uma terceira entidade, sendo que em qualquer um dos casos se fara necessário a
operação de um ambiente TSM.
Na figura abaixo podemos observar a diferenção das relações as partes interessadas no
ecossitema NFC com a solução de eNFC como podemos ver na figura abaixo:
 57

Figura 29: Ecossitema NFC com uso de eNFC

Business models for NFC payments – Mobey Forum – Outybro 2011
Fonte: Mobey Forum White Paper Business models for NFC payments.pdf

6.2.3 INTEGRADO AO CARTÃO DE MEMÓRIA MICRO-SD OU

ACESSÓRIO PARA IPHONE
Neste caso, o Provedor de Serviços terá uma série de diferente - mas compatíveis –
papéis no complexo ecossistema NFC.Dentro de uma visão autonoma que o modelo de ES
NFC possibilita, o provedor de serviços passa a ter um escopo maior de custos e
complexidade de gestão. No entanto, tem a opção de construir a caso de negócio independente
de outros interessados, exclusivamente com base no seu conhecimento, informação, fatos e
previsões.
Aqui o provedor de serviços passa a ser o dono do negócio e o emissor do ES NFC,
sendo, que o mesmo precisara ser de tamanho considerável e ter uma marca forte e confiável,
como podemos ver na figura abaixo:

Figura 30: Ecossitema NFC com uso de ES NFC

Business models for NFC payments – Mobey Forum – Outybro 2011
Fonte: Mobey Forum White Paper Business models for NFC payments.pdf

Como gestor do ecossistema, pode evoluir a interface do usuário outras opções de

serviços. Além disso, o microSD poderia sediar uma série de aplicações NFC, criando assim
uma carteira de serviços aumentado o retorno financeiro do modelo adotado, dado a sua
 58
amplitude. No desenvolvimento do caso, podemos destacar algumas das opções para o
processo e as principais ações de responsabilidade do provedore de serviços:
 Não há TSM com uma função técnica ou comercial;
 O provedor de serviços pode desenvolver parceiras comerciais com terceiros para
disponibilização de aplicações multifunção, tais como trânsito, emissão de bilhetes ou
pagamentos remotos, sendo necessário o estabelecimento e manutenção de algum tipo de
relação técnica com esses parceiros;
 O provedor de serviços deve oferece suporte ao cliente e gerenciar o ciclo de vida do
mesmo;
 O provedor de serviço desenvolve, implanta, distribui e mantém a interface do usuário;
 Requer a utilização de um ambiente OTA dentro dos padrões das especificações do NFC
Forum;
 O Provedor de Serviço distribui e mantém o SE.

Figura 31: Modelos de ES integrado no hardware do Celular

Fonte: Secure_Elements_101_FINAL3_032813.pdf
Mobile/NFC Security Fundamentals Secure Elements - Smart Card Alliance Webinar - Março 28, 2013

Na figura abaixo podemos observar que se alteram as relações entre as partes

interessadas no ecossitema NFC com a solução de ES NFC:

Figura 32: Relações no ecossitema NFC com uso de ES NFC

Business models for NFC payments – Mobey Forum – Outybro 2011
Fonte: Mobey Forum White Paper Business models for NFC payments.pdf
 59

6.3 O DISPOSITIVO MÓVEL

A tecnologia NFC chegou definitivamente ao mercado, oferendo a empresas e
usuários as suas funcionalidades. O mercado tem recebido ofertas de telefones celulares, tanto
em número com em diferentes modelos. Confirmado esse fato temos a notícia veiculada no
site da empresa Visa, em 11/01/2012:
Aparelhos com tecnologia NFC da Samsung Electronics, LG Electronics
e Research In Motion são aprovados para uso com o Visa payWave,
aplicativo da Visa para pagamentos com celular no ponto de venda

SÃO FRANCISCO 11 de janeiro de 2012 -- A Visa Inc. (NYSE:V) e a Visa

Europa anunciaram a certificação de diversos smartphones com a tecnologia
NFC das marcas Samsung Electronics, LG Electronics e Research In Motion
(RIM) para uso como meios de pagamentos no ponto de venda, utilizando a
aplicação de pagamento móvel da Visa, o Visa payWave. Os dispositivos
Samsung Galaxy SII, LG Optimus NET NFC, BlackBerry® Bold™ 9900,
BlackBerry Bold 9790, BlackBerry® Curve™ 9360 e BlackBerry Curve
9380 entraram para a lista de produtos de pagamento certificados pela Visa
para uso comercial por parte das instituições financeiras.
Os novos dispositivos certificados pela Visa possuem o aplicativo Visa
payWave armazenado em um SIM card seguro e dispõem da tecnologia NFC
(Near Field Communication), padrão da indústria que viabiliza a transmissão
segura de informações de pagamento do celular para o terminal de
pagamento sem contato.
"Este é um passo importante para a Visa, suas instituições financeiras
parceiras e o setor de celulares", afirma Bill Gajda, Diretor Global de
Produtos Móveis da Visa Inc. "Agora, além de emitirem cartões de
pagamento de plástico com tarja magnética ou chip, as instituições
financeiras têm a possibilidade de oferecer aos seus correntistas uma forma
de transformar seus smartphones em um dispositivo de pagamento móvel
totalmente funcional.".
Fonte: http://www.visa.com.br/conteudo.asp?pg=1513
Acessado em 04/05/2013 as 20:00 hrs.
No Brasil ainda estamos começando, embora os maiores banco do pais já tenham feito
testes com a tecnologia, ainda não foram concluídas a ações de regulamentação do Banco
Central do Brasil sobre o tema de pagamentos móveis, embora o assunto tenha ganhado maior
velocidade nos primeiros meses de 2013. Como confirmação dessa posição, relacionamento
matéria digulgada no site da revista Isto é Dinheiro, matéria de Aline Bronzati no dia 10 de
maio de 2013:
L IQUIDAÇÃO DE PAGAMENTO MÓVEL DEVE FICAR COM BANCOS
A regulamentação infralegal do setor de pagamentos móveis deve
estabelecer, de acordo com o assessor do Departamento de Operações
Bancárias e de Sistemas de Pagamentos (Depan) do Banco Central (BC)
Mardilson Fernandes Queiroz, que a liquidação das transações seja feita
apenas por instituições financeiras, embora o foco seja fiscalizar todos os
meios. Só estarão à mercê da regulamentação, segundo Queiroz, os cartões
exclusivos (private label) sem bandeiras, que não são considerados meios de
pagamento pelo BC.
"O Banco Central já supervisiona cooperativas e não há muitas
instituições não financeiras que prestam serviços no setor de pagamentos
móveis, uma vez que é necessária escala para atuar neste segmento", disse, ao
ser questionado sobre se o regulador terá estrutura para fiscalizar as
instituições-alvo da regulação.
As empresas não financeiras, conforme ele, podem ser obrigadas a
cumprir uma exigência extra de capital, cujos recursos serão depositados
numa conta-corrente. "A regulação será prudencial. As instituições não
financeiras que atuam no mercado de pagamentos móveis, como, por
exemplo, PayPal e Maxipago, não são pequenas e têm capital de sobra",
disse.
 60
Pequenos negócios, porém, podem passar ilesos da regulamentação.
"Não pediremos autorização prévia para pequenos negócios", afirmou.
Queiroz participou nesta quinta-feira de evento direcionado ao setor de
cartões. O assessor do Depan do BC lembrou que a medida provisória (MP)
que tratará dos pagamentos móveis no Brasil visa definir somente o regulador
do mercado, que, naturalmente, será o BC, e que os detalhes serão decididos,
posteriormente, pelo BC e Conselho Monetário Nacional (CMN). A MP foi
feita sem consulta pública, afirmou Queiroz, e atualmente está na Casa Civil.
Copyright © 2013 Agência Estado. Todos os direitos reservados.

Também em outro envento realizado pelo Banco Central do Brasil, identificamos

posicionamentos do mercado sobre o uso da tecnologia NFC, como os de Ricardo Tavares,
vice-presidente júnior da GSMA, Mauro Recalde, da Caixa no debate da MESA 2 –
Iniciativas de Inclusão Financeira da População de Baixa Renda do PAINEL V – Inclusão
Financeira das Famílias de Baixa Renda no do II Fórum Banco Central sobre Inclusão
Financeira, em Brasília, de 17 a 19 de novembro de 2010:
“Ricardo Tavares comentou que o sistema fi nanceiro e o mercado de
telefonia celular são “famílias” bem diferentes. Afi rmou que não é estratégia
da empresa, mas a estrutura de mercado parece indicar que existe uma
tendência à padronização. A empresa, contudo, não tomará essa iniciativa. O
mercado brasileiro decidirá. O debatedor prevê que, devido à Copa do
Mundo e às Olimpíadas, o uso do NFC evoluirá no país. Informa que se pode
ter uma plataforma comum para SMS e NFC.
Esclareceu que o NFC é simplesmente um chip colocado no celular que,
quando aproximado do caixa do supermercado, por exemplo, autoriza o
pagamento. Terminou comentando que se pretende ter telefones celulares
populares com NFC, o que será, inclusive, uma facilidade para os turistas que
vierem para os eventos.

Em seguida, Mauro Recalde perguntou a Ricardo Tavares se é

conhecido o percentual da população que efetivamente tem celular. Indagou,
ademais, se existe algum estudo quanto à facilidade e desenvoltura da
população de baixa renda no uso de celular (“pré-pago”). Ricardo Tavares afi
rmou não se lembrar de pesquisa sobre o percentual de pessoas que têm
celulares, mas comentou que o celular substitui a telefonia fi xa, desde que
haja cobertura. Acredita que todos que têm celulares têm cobertura.
Mas tal cobertura ainda é carente na área rural. Quanto à facilidade no uso,
remeteu a experiências concretas (65 casos implementados) e afi rmou que
não se identifi caram difi culdades de uso.
Também se dirigindo a Mauro Recalde, Roberto, presente na plateia,
perguntou qual é o saldo médio das contas simplificadas e qual é o nível
necessário para que elas sejam lucrativas. O debatedor respondeu que o saldo
médio se encontra em torno de R$50,00 e que essa conta está equilibrada
financeiramente. Comentou que foi reduzido bastante o custo operacional
dessa conta, chegando-se a cerca de um terço da conta tradicional, por meio
de alto investimento em tecnologia, inclusive com ganho em escala.

Fonte: anais_II_forum_inclusao_financeira.pdf
II Fórum Banco Central sobre Inclusão Financeira
Brasília, de 17 a 19 de novembro de 2010.

Este é o cenário que esta sendo montado no Brasil, principalmente se observarmos que
estamos no foco de dois grandes eventos mundiais, o que no torna ponto de destaque no
mercado internacional que envolve o ecossitema NFC, sendo o maior destaque as operadoras
de telefonia celular e os grande bancos do país.
Os fabricantes de aparelhos celulares Sony, Nokia e Blackberru ja anucniam os
lançamentos mundiais para o pais, como:
 Sony Xperia™ ZQ com sistema android 4.1;
 Nokia 808 PureView , 701 e C7-00 com sistema Symbiam;
 61
 BlackBerry Z10, da RIM com sistema Blackberry OS.

Para que um telefone celular possa absorver toda essa carga de processamento, um
conjunto de ferramentas e soluções compoem o conjunto de harware e software como verão a
seguir:

6.4 AMBIENTE JAVA E AMBIENTE J2ME

A Tecnologia de Sistema Operacional Java Card adapta a plataforma Java para uso em
cartões inteligentes microprocessados e outros dispositivos cujos ambientes são altamente
especializados, cuja memória e processamento possuem mais restrições que as normalmente
aplicadas em ambientes J2ME.
Os cartões inteligentes são hoje de extrema utilidade, visto que possibilitam a
aplicação de rigorosos mecanismos de segurança, muito úteis nas áreas de segurança pessoal.
Eles podem ser utilizados para adicionar a autenticação e garantir o acesso a sistemas de
informação que requerem um elevado nível de segurança. As informações armazenadas em
cartões inteligentes são portáteis. Com a tecnologia Java Card você pode carregar informações
pessoais valiosas e confidenciais, como seu histórico médico, números de cartão de crédito,
ou saldos de caixa eletrônico em um meio que é compacto, mas muito seguro.
Um dispositivo típico de Cartão Java tem uma CPU de 8 ou 16 bits rodando a 3.7MHz, com
1K de RAM e mais do que 16K de memória não-volátil (EEPROM ou Flash). Cartões
inteligentes de alta performance vem com um processador separado e chip criptográfico e
memória para criptografia, e alguns vêm com um processador de 32 bits.

A especificação da tecnologia do Sistema Operacional Java Card, é composta de três

partes:
 A Máquina Virtual Java, que define um subconjunto da linguagem de programação
Java e uma maquina virtual para uso no ambiente de hardware de cartões inteligentes
microprocessados;
 O Ambiente de Execução Java que define o comportamento em tempo de execução
para cartões inteligentes microprocessos que usam Java Card OS;
 O JavaCard API, que define o enquadramento do núcleo, pacotes de extensão de
JavaCard e classes para aplicações de cartões microprocessados.

Figura 33: Arquitetura do Ambiente Java Card OS

Fonte: http://www.oracle.com/technetwork/java/javacard/javacard1-139251.html
 62

O fator mais importante para o uso do da arquitetura Java dentro do ambiente do NFC
se deve ao fato de que o mesmo ja possui forte penetração dentro do mundo coorporativo da
TI global dada a sua origem, pela Sun Microsystems (Adquirida pela Oracle em 2010) como
plataforma aberta de desenvolvimento de software e solução multiuso com variado espectro
de aplicação. Esso modelo tem sofrido alguns conflitos, principalmente quanto a questões de
licenciamento, como descrito na reportagem pubicanda por James Niccolai, IDG News
Service em 07/05/2012 - 15h52 na pagina http://idgnow.uol.com.br:

O Google foi considerado responsável por violação de direitos autorais no

uso do Java em seu sistema operacional Android, mas o júri que analisa o
caso não conseguiu decidir se a infração estava protegida por regras de "uso
justo" (fair use).
A sentença, proferida nesta segunda (7) após uma semana de deliberações do
júri, é uma vitória parcial para a Oracle na sua ação contra o Google, mas a
dona do Java terá de esperar mais tempo - possivelmente para um novo
julgamento - para ver se o Google conseguirá que sua alegação de "uso
justo".

Vemos nos meios de comunicação questões como essa que envolvem a questão de
licenciamento do JAVA principalmente apos a aquisição da Sun pela Oracle, isso deve ser
colocado em atenção, pois projetos do mundo todo usam JAVA..

7.4.1 SISTEMA OPERACIONAL JAVA CARD

Arquitura do hardware do ES NFC e controlada pelo ambiente JavaCard que realiza a
comunicação com o cartão microprocessado (ambiente do SE NFC) conforme as figuras
abaixo, por meio de comando APDU - Application Protocol Data Unit. Essa comunicação
possui camadas de formas similares ao conceito ja conhecido das camadas OSI.

Figura 34: Padrões de Comunicação aplicado ao ES NFC

Fonte: Near Field Communication Research Lab
Josef Langer, Andreas Oyrer 2009 - Hagenberg – Austria - www.nfc-research.at

A troca de informações entre o dispositivo NFC e o ES NFC é feita atravez dos

comandos APDU de forma assincrona, padrão utilizado para cartões microprocessados.
Observamos na figura que o processo de comunicação interage com o ambiente do ES NFC
seguindos as normas internacionais:
 63
 ISO/IEC 7816 - define as características físicas, lógicas e os protocolos de
comunicação para acesso dos cartões microprocessados com contacto para
dispositivos externos;
 ISO/IEC 14443 - define as características físicas, lógicas e os protocolos de
comunicação para acesso dos cartões microprocessados sem contacto para
dispositivos externos.

6.5 PROCESSO DA COMUNIDADE JAVA

Duas requisições de especificação, conhecidas como JSR - Java Specification Request,
são utilizadas no ambiente da tecnologia NFC. São elas:

 JSR177: Atua como interface entre J2ME e JavaCard interno do ES NFC

API que atua como interface entre J2ME e um ES NFC com para atendimento de
solicitações demandadas por um ambiente de TSM no gerencimento seguro e
confiável do ambiente de aplicações NFC armazenados no ES NFC.

 JSR 257: Atua como interface entre J2ME e dispositivos alvos NFC sem contato
API de comunicação entre o J2ME e dispositivos (alvos) que utilizam a tecnologia de
radio frequência sem contato (13,56 MHz, e a distância de comunicação é geralmente
inferior a 10 centímetros).
Com o uso da API JSR 257, pode-se criar um aplicativo JAVA cliente para rodar em
um dispositivo com a capacidade de ler e/ou gravar informações em um dispositivo
NFC alvo. O Fórum NFC define o NFC NDEF formato de empacotamento de dados
que facilita a comunicação com um dispositivo NFC. A API de comunicação sem
contato fornece uma conexão com qualquer dispositivo que suporta o padrão NDEF,
permitindo aos aplicativos a trocar dados.
Fonte: http://jcp.org/en/home/index
Acessado em 15/01/2013 as 22:00 hrs
 64

7 A GOVERNANÇA DE TI APLICADA
A tecnologia trilhou o caminho que se iniciava como a solução e em muitos casos se
desviava para o caminho da ineficiência, altos custo e com o agravante da imposição de uma
gestão mais rigorosa para que o problema não se tornasse insolúvel.
Fatos esse que encontramos em vários depoimentos recolhidos no livro “Arquitura de
TI como estratégia empresarial”, Ross, Weill e Robertson, resultado de uma pesquisa que
transcorreu entre 1995 e 2006 cujo enfoque na governança, onde destacamos o seguinte
trecho:
Na maioria das empresas, preocupações com os custos de TI
determinam o interesse iicial n aarquitetura empresarial. Na maior dos casos,
sistemas contruídos para atender a necessidades comerciais imediatas
tornam-se custoso, redundantes e difíceis de manter. Um executivo de TI de
serviços financeiros descreve um dilema familiar: “No fim dos anos 90, os
clientes vinham crescendo exponencialmente. (..) Não yinhamos tempo para
observar internamente a recionalização ou a arquitetura. Faziamos o básico,
integrávamos o livro-razão geral, certificávamo-nos de que as rede podiam
conversar entre si e passavemos a tarefa seguinte. A partir de 200, o
crescimento do mercado reduziu-se. De repente já não estávamos
adquiridndo, mas sim protegendo os clientes existentes. Foi então que vimos
todos esses problemas de legado, os problemas de ontem que enfrentamos
hoje”.
(Ross, Weill e Robertson, 2008, pág. 75)
O livro é um excelente retrato de vida da tecnologia aplicada aos negócios com muitas
informações que nos levam ver a realidade prática de uma área crucial na maioria dos
negócios. Esse é o fato mais marcante que orienta os objetivos de trabalho, que é o de olhar
com interesse o nascimento de uma nova tecnologia, altamente integradora, dentro dos atuais
modelos de gestão de negócios com o uso da tecnologia. O modelo que consideramos mais
destacado e o do COBIT 4.1 (já esta com a nova versão 5 sendo disponibilizada pelo ISACA)
que trata dos conceitos de objetivos de controle, diretrizes de gerenciamento e modelos de
maturidade nos processos de negócios.

7.1 PROCESSOS COBIT 4.1

Desenvolvido com a participação de centenas de profissionais de vários países,
conforme apresentados nas paginas 1 a 3 do documento COBIT 4.1 disponibilizado pelo
ISACA. Os profissionais envolvidos, em sua maioria absoluta são especialistas de alto nível
com cerigicações, sendo muitos com títulos de Phd, o que torna o Control Objectives for
Information and related Technology título original em ingles de originou a sigla COBIT,
vejamos:
Para muitas organizações a informação e a tecnologia que a suporta
representam o seu bem mais valioso, mas muitas vezes é o menos
compreendido. Organizações bem-sucedidas reconhecem os benefícios da
tecnologia da informação e a utiliza para direcionar os valores das partes
interessadas no negócio. Essas organizações também entendem e gerenciam
os riscos associados, tais como as crescentes demandas regulatórias e a
dependência crítica de muitos processos de negócios da TI.
A necessidade da avaliação do valor de TI, o gerenciamento dos riscos
relacionados à TI e as crescentes necessidades de controle sobre as
informações são agora entendidos como elementos-chave da governança
corporativa. Valor, risco e controle constituem a essência da governança de
TI.
A governança de TI é de responsabilidade dos executivos e da alta direção,
consistindo em aspectos de liderança, estrutura organizacional e processos
que garantam que a área de TI da organização suporte e aprimore os
objetivos e as estratégias da organização.
Além disso, a governança de TI integra e institucionaliza boas práticas para
garantir que a área de TI da organização suporte os objetivos de negócios. A
 65
governança de TI habilita a organização a obter todas as vantagens de sua
informação, maximizando os benefícios, capitalizando as oportunidades e
ganhando em poder competitivo. Esses resultados requerem um modelo para
controle de TI que se adeque e dê suporte ao COSO (“Committe of
Sponsoring Organisations of the Treadway Commission’s Internal Control –
Integrated Framework”), um modelo para controles internos amplamente
aceitos para governança e gerenciamento de riscos empresariais, e outros
modelos similares.
As organizações devem satisfazer os requisitos de qualidade, guarda e
segurança de suas informações, bem como de todos seus bens. Os executivos
devem também otimizar o uso dos recursos de TI disponíveis, incluindo os
aplicativos, informações, infra-estrutura e pessoas. Para cumprir essas
responsabilidades bem como atingir seus objetivos, os executivos devem
entender o estágio atual de sua arquitetura de TI e decidir que governança e
controles ela deve prover.
O Control Objectives for Information and related Technology (CobiT®)
fornece boas práticas através de um modelo de domínios e processos e
apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas
do CobiT representam o consenso de especialistas. Elas são fortemente
focadas mais nos controles e menos na execução. Essas práticas irão ajudar a
aperfeiçoar os investimentos em TI, assegurar a entrega dos serviços e prover
métricas para julgar quando as coisas saem erradas.

Observamos que hoje o modelo de governança proposto pelo COBIT é amplamente

utilizado e divulgado como padrão de melhores praticas para o tema da governança da TI.
Mas o aspecto que vamos ressaltar nesse trabalho é da relação da governança da TI
com forma de manter o alinhamento da mesma dentro das estratégias dos negócios, conforme
mostra a figura abaixo:

Figura 35: Áreas de Foco na Governança de TI

Fonte: COBIT 4.1 – Pagina 8
ISACA – www.isaca.org

Observando os cinco pilares do foco do modelo de governança que nos apresenta a

figura acima, notamos a ampliture e qualidade de seus objetivos o que o torna ferramenta
execncial para aplicação de forma pratica dentro de um projeto de uso da tecnologia NFC.
Aprofundando um pouco mais dentro o modelo de governanção veremos que o mesmo
segue uma linha de ação que parte da estratégia organizacional, de onde são derivados os
objetivos de negócio para TI, seguindo até a obtenção de um mapa dos resultados obtidos
tendo como base a arquitetura corporativa de TI que opera para alcançar os objetivos de TI
que são derivados dos objetivos do negócio. Estamos diante de um ciclo de gestão que pode
ser tonar produtivo, pois, todos os processos de TI que operam dentro a arquitetura possuem
sinalizadores de cada atividade executata, tanto KPIs como KGIs.
 66

Figura 36: Objetivos alinhados, definidos e monitorados asseguram entregas atendam às

expectativas. Alcançadas por métricas e capturadas pelo scorecard de TI.
Fonte: COBIT 4.1 – Pagina 10 - ISACA – www.isaca.org

A linha de desdobramento dos objetivos vai orientar o caminho que parte dos
objetivos de negócio, gerando os objetivos de TI que posr sua vez geram os objetivos de
processo e culmina na geração do objetivo das atividades que serão gerenciados por dois tipos
de indicadores KPI e KGI, ações essas apresentadas nas figuras abaixo:

Figura 37: Exemplos de Relacionamento de Objetivos

Fonte: COBIT 4.1 – Pagina 10 - ISACA – www.isaca.org

Figura 38: Possível Medida do Resultado do Exemplo dado

Fonte: COBIT 4.1 – Pagina 10 - ISACA – www.isaca.org
 67
Começamos com a forma de aplicação do modelo de governança COBIT 4.1 ao
ambiente NFC já descrito nos tópicos anteriores, teremos como guia básico a analise dos
processos que abrangem os quatro domínios do COBIT 4.1, cuja indicação de “Importância”
esteja como Alta (H) ou Media (M) e em seguida vamos relacionar os componentes do
modelo do ambiente NFC. Para essa tarefa vamos utilizar a tabela de referencia arpesentada
no COBIT 4.1 que apresenta o mapeamento dos processos de TI às áreas de foco da
Governança em TI, COSO, Recursos de TI do CobiT e Critérios de Informação do CobiT,
retirados do documento de referencia, da página 177:

Figura 40: Mapa dos processos de TI frente às Areas de Foco TI, COSO, Recursos TI
Cobit e Critérios de informação Cobit
Fonte: COBIT 4.1 – Pagina 177 - ISACA – www.isaca.org
 68
Concluindo a forma de aplicação do modelo de governança COBIT 4.1 ao ambiente
NFC já descrito nos tópicos anteriores, teremos como guia básico a analise dos processos que
abrangem os quatro domínios do COBIT 4.1, cuja indicação de “Importância” esteja como
Alta (H) ou Media (M) e em seguida vamos relacionar os componentes do modelo do
ambiente NFC. Para essa tarefa vamos utilizar a tabela de referencia arpesentada no COBIT
4.1 que apresenta o mapeamento dos processos de TI às áreas de foco da Governança em TI,
COSO, Recursos de TI do CobiT e Critérios de Informação do CobiT, retirados do documento
de referencia, da página 177:
Tabelas Relacionando Objetivos e Processos
Este apêndice apresenta uma visão global de como os objetivos de negócios
gerais relacionam-se com os objetivos de TI, os processos de TI e critérios de
informação. Existem três tabelas:
1. A primeira tabela mapeia os objetivos de negócios, organizados de acordo
com o balanced scorecard, com os objetivos de TI e critérios de informação.
Isso ajuda a mostrar para um determinado objetivo de negócio quais os
objetivos de TI que normalmente suportam este objetivo. O conjunto de 17
objetivos de negócios não deve ser considerado como uma lista completa de
todos os possíveis objetivos de negócios; é uma seleção de objetivos de
negócios relevantes que podem ter um claro impacto em TI (objetivos de
negócios relacionados a TI).
2. A segunda tabela mapeia os objetivos de TI com os processos de TI do
CobiT e com critérios de informação nos quais os objetivos de TI são
baseados.
3. A terceira tabela prove um mapa reverso demonstrando para cada processo
de TI os respectivos objetivos de TI que eles suportam.
As tabelas ajudam a demonstrar o escopo do CobiT e o relacionamento dos
negócios em geral entre o CobiT e os direcionadores de negócios, permitindo
que um típico objetivo de negócio relacionado a TI seja mapeado via
objetivos de TI aos processos de TI que os suporta. As tabelas são baseadas
em objetivos genéricos e deveriam ser usadas como um guia e adaptadas para
uma organização específica.
Para prover uma ligação com os critérios de informação usados para
requerimentos de negócios na terceira edição do CobiT, as tabelas também
contém uma indicação do critério de informação mais importante suportados
pelos objetivos de negócios e de TI.
Notas:
1. Os critérios de informações nos gráficos de objetivos de negócios são
baseadas na aglomeração do critério para o objetivo de TI relacionado e uma
avaliação subjetiva daqueles que são mais relevantes para o objetivo de
negócio. Não se tentou indicar qual é primário ou secundário. Essas são
apenas indicativos e os usuários podem seguir um processo similar quando
estiverem avaliando seus próprios objetivos de negócios.
2. Os critérios de informações primários e secundários apresentados no
gráfico de objetivos de TI são baseados na aglomeração do critério para cada
processo de TI e uma avaliação subjetiva do que é primário ou secundário
para o objetivo de TI, visto que alguns processos tem maior impacto nos
objetivos de TI do que outros. Essas são apenas indicativos e os usuários
podem seguir um processo similar quando estiverem avaliando seus próprios
objetivos de TI.

Para aplicação do modelo de governança ao ambiente do NFC com o viez da relação

processos de TI X Objetivos de TI, serão indicados os objetivos de TI que possuam relação
com os processos selecionados por importância, etapa essa mencionada no item anterior, ou
seja, serão considerados apenas os processos de TI mapeados de acordo com a primeira regra
de aplicação que definiu os processos de TI que teem indicação de importância Alta e média..
Assim para cada objetivo de TI que aponte um dos processos já mencionados, esse objetivo
fara parte da relação final.
 69

Figura 41: Relação de Processos de TI com Objetivos de TI

Fonte: COBIT 4.1 – ISACA – IT Governance Institute, Pag 175
Mapa da relação dos objetivos processos TI e objetivos de TI.

Para aplicação do modelo de governança ao ambiente do NFC com o viez da relação

BSC – Objetivos de Negócio e os os objetivos de TI, serão relacionados aos processos que
possuam relação com os já selecionados por importância, etapa essa mencionada no item
anterior (mapeamento dos processos de TI às áreas de foco da Governança em TI, COSO,
Recursos de TI do CobiT e Critérios de Informação do CobiT), Assim para cada objetivo de
TI que aponte um dos processos já mencionados, esse objetivo fara parte da relação final.

Figura 42: Relação de BSC com CobiT 4.1

Fonte: COBIT 4.1 – ISACA – IT Governance Institute, Pag 171
Mapa da relação do BSC, objetivos de negócios, objetivos de TI e critérios de informação
 70
Para aplicação do modelo de governança ao ambiente do NFC com o viez da relação
Objetivo de TI e os objetivos de processos, serão indicados os objetivos de TI e os processos
que possuam relação com os já selecionados por importância, etapa essa mencionada no item
anterior (mapeamento dos processos de TI às áreas de foco da Governança em TI, COSO,
Recursos de TI do CobiT e Critérios de Informação do CobiT), Assim para cada objetivo de
TI que aponte um dos processos já mencionados, esse objetivo fara parte da relação final.

Figura 43: Relação de BSC com CobiT 4.1

Fonte: COBIT 4.1 – ISACA – IT Governance Institute, Pag 172
Mapa da relação dos objetivos de TI, objetivos processos e critérios de informação.
 71

7.1.1 APLICANDO COBIT – VIA MAPEAMENTO DE PROCESSOS

A primeira visão desse trabalho apresenta como forma de aplicação do modelo de
governança COBIT 4.1 ao ambiente NFC já descrito nos tópicos anteriores, usará como guia
básico a analise dos processos que abrangem os quatro domínios do COBIT 4.1, cuja
indicação de “Importância” esteja como Alta (H) ou Media (M) e em seguida vamos
relacionar os componentes do modelo do ambiente NFC. Para essa tarefa vamos utilizar a
tabela de referencia apresentada no COBIT 4.1 que informa o mapeamento dos processos de
TI às áreas de foco da Governança em TI, COSO, Recursos de TI do CobiT e Critérios de
Informação do CobiT, retirados do documento de referencia, da página 177:
Relacionando os processos de cada um dos quatro domínios do COBIT que recebem a
indicação de importância, mesmo que seja apresentada apenas como guia, porém trata-se de
uma opinição de um grupo de especialistas em TI de várias partes do mundo, sendo, portanto
um indicador de qualidade dado a qualidade incontestável do modelo final do COBIT.
Vejamos o resultado da seleção final:

Figura 44: Mapa dos processos de TI frente às Areas de Foco TI, COSO, Recursos TI
Cobit e Critérios de informação Cobit com alta e média importância
Fonte: COBIT 4.1 – Pagina 177 - ISACA – www.isaca.org

Aos processos selecionados vamos indicar a importância de cada um dentro dos itens
que envolvem um ambiente de tecnologia NFC, identificando os pontos de maior destaque na
relação processo x componente da tecnologia. Essa avaliação esta direcionada pelos conceitos
e pela complexidade de cada item dentro do ambiente NFC.
 72
Em seguida estão relacionados para os processos acima selecionados, os componentes
avaliados e relacionados entre NFC x COBIT 4.1, com o grau de sua importância dentro do
ambiente NFC segunfo o modelo de negócio a ser adotado.
Processos COBIT 4.1 selecionados aplicados ao modelo de negócio associado ao tipo
do elemento seguro SIM-NFC, cuja característica mais importante é a integral denpendecia de
uma operadora de celular:
 1 - TSM – Gestor Confiável de Serviços
 2 - MNO – Operadora de Telefonia Móvel
 3 – FTC - Fabricante de Celulares NFC
 4 – FES - Fabricante de Elemento Seguro (UICC)
 5 – PSN - Provedor de Serviços NFC
 6 – USU - Usuários
 7 – MDO -Mercado
 8 – ADQ – Adquirente

Avaliação da importância dos Componentes NFC x COBIT 4.1 para SIM-NFC

Domínio Avaliação do Componente SIM-NFC
CobiT Processo Descrição do Processo
4.1 TSM MNO FTC FES PSN USU MDO ADQ
PO1 Definir um Plano Estratégico de TI A A B M M M A B
Planejar e Organizar

PO3 Determinar o Direcionamento Tecnológico B B M B M B M B

PO5 Gerenciar o Investimento de TI M M B M A B M B
PO6 Comunicar as Diretrizes e Expectativas da Diretoria A A M M M M A B
PO8 Gerenciar a Qualidade M M M M A B M B
PO9 Avaliar e Gerenciar os Riscos de TI M M M A M M M B
PO10 Gerenciar Projetos M M B M A B A B
AI1 Identificar Soluções Automatizadas B B B A M B B B
Implementar

AI2 Adquirir e Manter Software Aplicativo B A B M A B B B

Adquirir e

AI5 Adquirir Recursos de TI M M B M B B B B

AI6 Gerenciar Mudanças A A B M A M M M
AI7 Instalar e Homologar Soluções e Mudanças A M B A A M M B
DS1 Definir e Gerenciar Níveis de Serviços M M B M M B M B
Entregar e Suportar

DS4 Assegurar a Continuidade dos Serviços A B B A A A M A

DS5 Assegurar a Segurança dos Sistemas A A M A A M A A
DS9 Gerenciar a Configuração M B B M M B M B
DS10 Gerenciar Problemas M M B A M B B B
DS11 Gerenciar os Dados A B B A B M M B
ME1 Monitorar e Avaliar o Desempenho de TI M M B M M B B B
Monitorar e
Avaliar

ME2 Monitorar e Avaliar os Controles Internos B B B B B B B B

ME3 Assegurar Conformidade Com Requisitos Externos A A B A A M A B
ME4 Prover Governança de TI M M B M A B M B
Baixa 4 6 17 2 3 13 6 19
Totais

Média 10 10 5 12 9 8 11 1
Alta 8 6 0 8 10 1 5 2
Legenda: B – Baixa, M – Média, A – Alta
Figura 45: Mapa de avaliação dos componentes NFC x COBIT 4.1 para SIM-NFC
Fonte: Autoria própria

Concluímos que nessa avaliação dos processos selecionados ao modelo de negócio e

associados ao tipo de ES SIM-NFC, considerando apenas com Alta e Média importância
 73
temos que os componentes que absorvem maior importância para o modelo em questão são o
PSN, TSM, FES e MDO indicando que estes componentes teem maior peso nesse modelo, ao
contrário ADQ, FTC e USU que teem o menor peso nesse modelo.

Processos COBIT 4.1 selecionados aplicados ao modelo de negócio associado ao tipo

do elemento seguro ES eNFC;
 TSM – Gestor Confiável de Serviços
 MNO – Operadora de Telefonia Móvel
 FTC - Fabricante de Celulares NFC
 FES - Fabricante de Elemento Seguro (ES eNFC)
 PSN - Provedor de Serviços NFC
 USU - Usuários
 MDO -Mercado
 ADQ – Adquirente

Avaliação da importância dos Componentes NFC x COBIT 4.1 para ES eNFC

Domínio Avaliação do Componente eNFC
CobiT Processo Descrição do Processo
4.1 TSM MNO FTC FES PSN USU MDO ADQ
PO1 Definir um Plano Estratégico de TI M B A B M A M B
Planejar e Organizar

PO3 Determinar o Direcionamento Tecnológico B B A B M M M B

PO5 Gerenciar o Investimento de TI M B A B A A M B
PO6 Comunicar as Diretrizes e Expectativas da Diretoria B B A B M A A B
PO8 Gerenciar a Qualidade B B M B A M M B
PO9 Avaliar e Gerenciar os Riscos de TI B B M B A A M B
PO10 Gerenciar Projetos B B M B A M A B
AI1 Identificar Soluções Automatizadas B B A B A A A B
Implementar

AI2 Adquirir e Manter Software Aplicativo B B A B A A A B

Adquirir e

AI5 Adquirir Recursos de TI B B A B A A B B

AI6 Gerenciar Mudanças M B M B A M M B
AI7 Instalar e Homologar Soluções e Mudanças M B M B A M M B
DS1 Definir e Gerenciar Níveis de Serviços M B M B M M M B
Entregar e Suportar

DS4 Assegurar a Continuidade dos Serviços M B A B A A A A

DS5 Assegurar a Segurança dos Sistemas B B A B A M A A
DS9 Gerenciar a Configuração B B M B M M M B
DS10 Gerenciar Problemas B B M B M B B B
DS11 Gerenciar os Dados B B A B A A M B
ME1 Monitorar e Avaliar o Desempenho de TI M B B B M B B B
Monitorar e
Avaliar

ME2 Monitorar e Avaliar os Controles Internos B B M B M B B B

ME3 Assegurar Conformidade Com Requisitos Externos A B A B A A A B
ME4 Prover Governança de TI M B M B A B M B
Baixa 13 22 1 22 0 4 4 20
Totais

Média 8 0 10 0 8 8 11 0
Alta 1 0 11 0 14 10 7 2
Figura 46: Mapa de avaliação dos componentes NFC x COBIT 4.1 para eNFC
Fonte: Autoria própria

Concluímos que nessa avaliação dos processos selecionados ao modelo de negócio e

associados ao tipo de ES eNFC, considerando apenas com Alta e Média importância temos
 74
que os componentes que absorvem maior importância para o modelo em questão são o PSN,
TSM, FTC e USU indicando que estes componentes teem maior peso nesse modelo, ao
contrário MNO, FES e ADQ que teem o menor peso nesse modelo.

Processos COBIT 4.1 selecionados aplicados ao modelo de negócio associado ao tipo

do elemento seguro ES NFC;
 TSM – Gestor Confiável de Serviços
 MNO – Operadora de Telefonia Móvel
 FTC - Fabricante de Celulares NFC
 FES - Fabricante de Elemento Seguro (ES NFC)
 PSN - Provedor de Serviços NFC
 USU - Usuários
 MDO -Mercado
 ADQ – Adquirente

Avaliação da importância dos Componentes NFC x COBIT 4.1 para ES NFC

Domínio Avaliação do Componente ES NFC
CobiT Processo Descrição do Processo
4.1 TSM MNO FTC FES PSN USU MDO ADQ
PO1 Definir um Plano Estratégico de TI M B B A M A A M
Planejar e Organizar

PO3 Determinar o Direcionamento Tecnológico B B B M A A A M

PO5 Gerenciar o Investimento de TI M B B A A A A B
PO6 Comunicar as Diretrizes e Expectativas da Diretoria B B B A A A A M
PO8 Gerenciar a Qualidade B B B A A A A B
PO9 Avaliar e Gerenciar os Riscos de TI B B B A A A M M
PO10 Gerenciar Projetos B B B A A A A B
AI1 Identificar Soluções Automatizadas B B B A A A A B
Implementar

AI2 Adquirir e Manter Software Aplicativo B B B A A A A B

Adquirir e

AI5 Adquirir Recursos de TI B B B A A A M B

AI6 Gerenciar Mudanças M B B A A A M M
AI7 Instalar e Homologar Soluções e Mudanças M B B A A A M M
DS1 Definir e Gerenciar Níveis de Serviços M B B A M A M M
Entregar e Suportar

DS4 Assegurar a Continuidade dos Serviços M B B A A A A M

DS5 Assegurar a Segurança dos Sistemas B B B A A A A A
DS9 Gerenciar a Configuração B B B M M A M B
DS10 Gerenciar Problemas B B B M M M A B
DS11 Gerenciar os Dados B B B A A A A M
ME1 Monitorar e Avaliar o Desempenho de TI M B B B A M M B
Monitorar e
Avaliar

ME2 Monitorar e Avaliar os Controles Internos B B B B M M M B

ME3 Assegurar Conformidade Com Requisitos Externos A B B A A A A A
ME4 Prover Governança de TI M B B M A A A M
Baixa 13 22 22 2 0 0 0 10
Totais

Média 8 0 0 4 5 3 8 10
Alta 1 0 0 16 17 19 14 2
Figura 48: Mapa de avaliação dos componentes NFC x COBIT 4.1 para ES NFC
Fonte: Autoria própria

Concluímos que nessa avaliação dos processos selecionados ao modelo de negócio e

associados ao tipo de ES NFC, considerando apenas com Alta e Média importância temos que
 75
os componentes que absorvem maior importância para o modelo em questão são o USU, PSN
e FES indicando que estes componentes teem maior peso nesse modelo, ao contrário MNO,
FTC e TSM que teem o menor peso nesse modelo.

7.1.2 APLICANDO COBIT – VIA OBJETIVOS DE TI X PROCESSOS

DE TI
A segunda visão desse trabalho apresenta como forma de aplicação do modelo de
governança COBIT 4.1 ao ambiente NFC já descrito nos tópicos anteriores, usará como guia
básico a relação final dos processos selecionados, conforme Figura 44: Mapa dos processos
de TI frente às Areas de Foco TI, COSO, Recursos TI Cobit e Critérios de informação Cobit,
retirados do documento de referencia, da página 177:
Relacionando os processos de cada um dos quatro domínios do COBIT que recebem a
indicação de importância, vamos associar a cada de acordo com a relação de Objetivos de Ti x
Processos de Negócio (Figura 44) com 43, teremos:

Figura 49: Mapa dos objetivos de TI x Processos de Ti após seleção mencionada

Fonte: Autoria própria

Após aplicação a plicação do critério de seleção já aplicado na Figura 44, observamos

que os objetivos de TI 5 – Criar agilidade para TI e 10 – Assegurar satisfação mútua no
relacionamento com terceiros.

7.1.2 APLICANDO COBIT – VIA QUADRO DE PROCESSOS BSC

A terceira visão desse trabalho apresenta como forma de aplicação do modelo de
governança COBIT 4.1 ao ambiente NFC já descrito nos tópicos anteriores, e usará como guia
básico a relação final dos processos selecionados, conforme Figura 44: Mapa dos processos
de TI frente às Areas de Foco TI, COSO, Recursos TI Cobit e Critérios de informação Cobit
 76
com alta e média importância, COSO, Recursos de TI do CobiT e Critérios de Informação do
CobiT, retirados do documento de referencia, da página 177:
Relacionando os processos de cada um dos quatro domínios do COBIT que recebem a
indicação de importância, vamos associar a cada de acordo com a relação de BSC – Objetivos
de Negócio e Objetivos de Ti, nesse caso removeremos os objetivos de TI (Figura 49) que não
tiveram processos afetados, ficando assim o novo quadro:

Figura 50: Mapa dos objetivos de TI x Processos de Ti após seleção mencionada

Fonte: Cobit 4.1
Tabela ajustada com a eliminação do processo de neógcio que não se referenciam os objetivos de TI

Após a aplicação do critério de seleção já aplicado na Figura 49, observamos que os

objetivos de TI 5 – Criar agilidade para TI e 10 – Assegurar satisfação mútua no
relacionamento com terceiros, apesar de removidos, não foi gerado nenhum impacto nas
quatro perspectivas do BSC.

8 CONCLUSÃO
O mundo da tecnologia NFC tem ainda um longo tempo de vida, mas o movimento
acerca da tecnologia cresce de forma acentuada e podemos afirmar que pos ser tecnologia que
uma tecnologia que esta em fase final da sua gestação.
O ecossistema do NFC associado ao grau de complexidade do mesmo, apresenta
grande desafios aos profissionais de TI para a sua implantação. Outro ponto básico e que o
direcionar mais importante para a aplicação de governança de TI ao mundo NFC, fica claro
que o processo de decisão por qual modelo de negócios a ser adotado, com uma dependência
direta ao modelo tecnológico do ES NFC. Isso posto temos vários projetos no mundo que
contempla o uso da tecnologia e todas as informações sobre as mesmas apontam para um
rigor de gestão, associado aos ambientes operacionais, racionalizado, alro grau de
padronização e regulamentação, fazendo que uso da mesma, seja gerenciando sobre uma pdão
 77
mínio de rigor pois o volume de transações interligado com a natureza do serviço (em tempo
real) irá provocar muitas e muitas reuniões.
Como finalização desse trabalho e como uma forma de apresntar a velocidade que a
tecnologia se espalhou a vários países, como mostra o gráfico abaixo:

Figura 51: Mapa com a distribuição dos projetos de NFC no mundo

Fonte: http://nfctimes.com/nfc-projects
Já são mais de 250 projetos

O celular como meio de execução de variados tipos de serviços, inclsuvie o de

pagamento, vai trazer inúmeras oportunidades de novos negócios, além de novas posições de
trabalho.
 78

REFERÊNCIAS

Documentos em formato pdf consultados para pesquisa

Nome From NFC Pilots towards Commercial Roll-Outs - status update and ecosystem requirements
Documento
Nome Arquivo 11_venyon_sirpa_nordlund_nfc_congress_2008_hagenberg.pdf
Data 27/02/2008
Evento / NFC Congress
Origem
Local Hagenberg - Austria
Autor Sirpa Nordlund
Empresa Venyon

Nome MIFARE4Mobile : the road to NFC mass deployment in ticketing

Documento
Nome Arquivo 12-03-20_NFC_Ticketing_Europe_2012.pdf
Data 20/03/2012
Evento / NFC Ticketing Europe 2012
Origem
Local Londres - Inglaterra
Autor Pedro Martinez
Empresa EMEA - Agencia Europeia de Medicina

Nome III Fórum Banco Central sobre Inclusão Financeira

Documento
Nome Arquivo Anais_III_Forum_BC_Inclusao_Financeira.pdf
Data 21/11/2011
Evento / Brasília - DF
Origem
Local Banco Central do Brasil
Autor Banco Central do Brasil
Empresa Banco Central do Brasil

Nome Ergebnisse des NFCFeldversuches Hagenberg

Documento
Nome Arquivo 2008_01_29_NFC_Trial_Gerald_Madlmayr_MCTA.pdf
Data 29/01/2008
Evento /
Origem
Local Hagenberg - Austria
Autor Gerald Madlmayr
Empresa Research Lab Hagenberg

Nome Secure Element Development

Documento
Nome Arquivo 2009_09_01_Secure_Element_Programming.pdf
Data 04/11/2009
Evento / Oulu Developers Summit
Origem
Local Oulu - Finlandia
Autor Josef Langer, Andreas Oyrer
Empresa Research Lab Hagenberg

Nome NFC: In Touch With Innovation

Documento
Nome Arquivo 2012_10_02_AIPIA_Presentation_Tagawa_final.pdf
Data 02/10/2012
Evento / AIPIA Congress
Origem
 79
Local Tokio - Japão
Autor Koichi Tagawa
Empresa Sony

Nome 100+ Million Devices: What Do We Owe Consumers Now?

Documento
Nome Arquivo 2012_11.28_WIMA_USA_Tagawa_NFC_Forum_Final_Presentation.pdf
Data 28/11/2012
Evento / WIMA USA
Origem
Local SãoFrancisco - USA
Autor Koichi Tagawa
Empresa Sony

Nome MIFARE4MobileTM unleashing smart services on NFC enabled mobile devices

Documento
Nome Arquivo 2012_TransITech_Lackner_Christian_MIFARE4Mobile_V1.1_min.pdf
Data Ano 2012
Evento / Transitech Conference
Origem
Local Phoenix - USA
Autor Christian Lackner
Empresa NXP

Nome (HTTPS) connection between a Universal Integrated Circuit Card (UICC) and a Network Application Function (NAF)
Documento
Nome Arquivo 33918-700.pdf
Data 01/12/2005
Evento /
Origem
Local Valbonne - França
Autor 3GPP
Empresa 3GPP

Nome NFC Forum Certification: The Key to Interoperable Innovation

Documento
Nome Arquivo 35792_MWG_NFC_4G_World_2011_vFINAL2.pdf
Data 26/10/2011
Evento / 4G World NFC Summit
Origem
Local Chicago - USA
Autor Mohamed Awad
Empresa Broadcom

Nome GlobalPlatform Card Remote Application Management over HTTP

Documento
Nome Arquivo 540.539 GPC_2.2_B_RAM_over_HTTP_v1.1.1.pdf
Data 01/03/2012
Evento /
Origem
Local Redwood City - USA
Autor GlobalPlatform
Empresa GlobalPlatform

Nome Start Guide of NFC FRI SDK

Documento
Nome Arquivo AN10664_NFC-FRI-SDK_StartGuide.pdf
Data 31/10/2007
Evento /
Origem
Local
 80
Autor NXP
Empresa NXP

Nome Anais do III Fórum Banco Central sobre Inclusão Financeira

Documento
Nome Arquivo Anais_III_Forum_BC_Inclusao_Financeira.pdf
Data 23/11/2011
Evento / III Fórum Banco Central sobre Inclusão Financeira
Origem
Local Bras¡lia - DF
Autor Banco Central do Brasil
Empresa Banco Central do Brasil

Nome Anatomy of a Mobile Device: Security Architecture and Secure Provisioning

Documento
Nome Arquivo Anatomy_of_a_Mobile_Device_030513.pdf
Data 05/03/2013
Evento / Smart Card Alliance Webinar
Origem
Local New Jersey - USA
Autor Smart Card Alliance
Empresa Smart Card Alliance

Nome Open NFC - Usage of the SE API with SecuRead 1.0

Documento
Nome Arquivo APN_NFC_1011-231 Open NFC - Usage of the SE API with SecuRead 1.0 v1.3.pdf
Data 03/10/2011
Evento / Open NFC
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome Open NFC - Security Stack and OTA Examples

Documento
Nome Arquivo APN_NFC_1109-275 Open NFC - Security Stack and OTA Examples v0.1.pdf
Data 12/09/2011
Evento / Open NFC
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome NFC Forum Now: Driving Vertical Market Implementation Through SIG Activities
Documento
Nome Arquivo APSCA_NFC_Smart_World_Tagawa_2013.pdf
Data 01/05/2000
Evento / APSCA NFC & Smart WORLD
Origem
Local Tokyo - Japão
Autor Koichi Tagawa
Empresa Sony

Nome Bearer Independent Protocol (BIP) - White Paper

Documento
Nome Arquivo BIP_Whitepaper_final.pdf
Data 06/03/2013
Evento /
Origem
Local Munique - Alemanha
Autor Giesecke & Devrient
 81
Empresa Giesecke & Devrient

Nome ARRANGEMENT on the Recognition of Common Criteria Certificates In the field of Information Technology Security
Documento
Nome Arquivo cc-recarrange.pdf
Data 01/05/2000
Evento /
Origem
Local

Autor Commom Criteria

Empresa Commom Criteria

Nome Connection Handover Technical Specification NFC Forum

Documento
Nome Arquivo Connection Handover.pdf
Data 07/07/2010
Evento /
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome CobiT 4.1 - Modelo - Objetivos de Controle - Diretrizes de Gerenciamento - Modelos de Maturidade
Documento
Nome Arquivo cobit41-portuguese.pdf
Data Ano 2007
Evento /
Origem
Local USA
Autor ISACA
Empresa ISACA

Nome NFC, Contactless, and Mobile: A Security Analysis

Documento
Nome Arquivo Day1_HadiNahari_Mobile&Network_Security.pdf
Data 02/11/2012
Evento / RSA Conference
Origem
Local Beijing - China
Autor Hadi Nahari
Empresa Paypal

Nome NFC Standards, Products and Specifications

Documento
Nome Arquivo DIV_NFC_0804-250 NFC Standards v1.7.pdf
Data Ano 2011
Evento / Open NFC
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome EMVCo White Paper on Contactless Mobile Payment

Documento
Nome Arquivo EMVCo_White_Paper_on_Contactless_Mobile_Payment_20110921111857912.pdf
Data set/11
Evento / EMV Contactless Mobile Payment
Origem
Local

Autor EMVCo
Empresa EMVCo
 82
Nome Mobile Contacless SEPA CARD Payments Interoperability Implementation Guideline
Documento
Nome Arquivo EPC178-10 v2.0 Mobile Contactless SEPA Card Payments Interoperability Implementation Guidelines.pdf
Data 13/11/2011
Evento / Mobile Payment
Origem
Local Bruxelas
Autor EPC
Empresa EPC

Nome SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES

Documento
Nome Arquivo fips1401.pdf
Data 11/01/1994
Evento /
Origem
Local EUA
Autor NIST
Empresa NIST

Nome Generator Tool for Microread Configuration File

Documento
Nome Arquivo FRS_NFC_0910-129 Generator Tool for Microread Configuration File v0.5.pdf
Data 20/05/2011
Evento / OPEN NFC - Especificação Funcional
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome Open NFC - Security Stack

Documento
Nome Arquivo FRS_NFC_1104-241 Open NFC - Security Stack v0.3.pdf
Data 22/05/2011
Evento / OPEN NFC - Especificação Funcional
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome Open NFC - Security Stack - AC File Generator Tool

Documento
Nome Arquivo FRS_NFC_1104-244 Open NFC - Security Stack - AC File Generator Tool v0.2.pdf
Data 26/07/2011
Evento / OPEN NFC - Especificação Funcional
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome The UICC - The Security Platform for Value Added Services
Documento
Nome Arquivo G&D_Vedder_UICC_SecurityPlatformforValueAddedServices.pdf
Data 13/01/2009
Evento / 4th ETSI Security WS
Origem
Local Sophia Antipolis - France
Autor Dr. Klaus Vedder
Empresa ETSI

Nome Generic Control Record Type Definition Technical Specification NFC Forum
Documento
 83
Nome Arquivo Generic Control Record Type Definition.pdf
Data 03/07/2008
Evento / NFC Forum
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome GlobalPlatforms Proposition for NFC Mobile: Secure Element Management and Messaging
Documento
Nome Arquivo GlobalPlatform_NFC_Mobile_White_Paper.pdf
Data abr/09
Evento /
Origem
Local GlobalPlatform - Especificação do Cartão
Autor GlobalPlatform
Empresa GlobalPlatform

Nome GlobalPlatform Card Remote Application Management over HTTP

Documento
Nome Arquivo GPC_2.2_B_RAM_over_HTTP_v1.1.1.pdf
Data mar/12
Evento / GlobalPlatform - Especificação do Cartão
Origem
Local

Autor GlobalPlatform
Empresa GlobalPlatform

Nome GlobalPlatform Card Contactless Services

Documento
Nome Arquivo GPC_2.2_C_ContactlessServices_v1.1.pdf
Data abr/13
Evento / GlobalPlatform - Especificação do Cartão
Origem
Local

Autor GlobalPlatform
Empresa GlobalPlatform

Nome GSMA M-Ticketing Whitepaper

Documento
Nome Arquivo GSMA_Mobile_Ticketing_White_Paper.pdf
Data fev/11
Evento / GSMA Whitepaper
Origem
Local

Autor GSMA
Empresa GSMA

Nome NFC Forum Specifications to Build Solutions and Ensure the Global Interoperability of NFC
Documento
Nome Arquivo IET_presentation_NFC_Forum_John_Hillan_final.pdf
Data 28/09/2012
Evento / NFC Forum
Origem
Local

Autor John Hillan

Empresa Qualcomm (UK) Ltd.

Nome FIPS 201 EVALUATION PROGRAM

Documento
Nome Arquivo Lab_Specification_v7.0.0.pdf
 84
Data 12/05/2010
Evento / Laboratory Specification
Origem
Local EUA
Autor April Giles, Nabil Ghadiali
Empresa FIPS

Nome Using COBIT and the Balanced Scorecard as Instruments for Service Level Management
Documento
Nome Arquivo jpdf034-UsingCOBITandBSC.pdf
Data Ano 2004
Evento /
Origem
Local EUA
Autor ISACA
Empresa ISACA

Nome Logical Link Control Protocol Technical Specification NFC ForumTM

Documento
Nome Arquivo Logical Link Control Protocol.pdf
Data 20/06/2011
Evento / NFC Forum
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome Open NFC Linux Edition - Porting Guide

Documento
Nome Arquivo MAN_NFC_0711-028 Open NFC Linux Edition - Porting Guide v1.12.pdf
Data 15/09/2011
Evento / OPEN NFC - Manual
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome Open NFC - PC Edition - Examples - User's Manual

Documento
Nome Arquivo MAN_NFC_0901-099 Open NFC - PC Edition - Examples - User's Manual v1.5.pdf
Data 25/09/2011
Evento / OPEN NFC - Manual
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome Business models for NFC payments - White Paper

Documento
Nome Arquivo Mobey Forum White Paper Business models for NFC payments.pdf
Data out/11
Evento / Business Workgroup
Origem
Local Mobey Forum
Autor Mobey Forum
Empresa

Nome EPC / GSMA Mobile Contactless Payments Service Management Roles Requirements and Specifications
Documento
Nome Arquivo Mobile Contactless Payments Service Management Roles Requirements and Specifications v.2.pdf
Data out/10
 85
Evento / EPC - GSMA - Especificação
Origem
Local EPC, GSMA
Autor EPC, GSMA
Empresa

Nome Mobile NFC Secure UICC vs. Secure IC

Documento
Nome Arquivo Mobile NFC Secure UICC vs Secure IC.pdf
Data mai/08
Evento / Orlando - EUA
Origem
Local Infineon
Autor Infineon
Empresa

Nome Mobile NFC Ticketing Services

Documento
Nome Arquivo Mobile NFC Ticketing -Gemalto.pdf
Data 15/08/2012
Evento / Hector Cano
Origem
Local Gemalto
Autor

Empresa

Nome NFC Activity Specification Technical Specification NFC Forum

Documento
Nome Arquivo NFC Activity Specification.pdf
Data 18/11/2010
Evento / NFC Forum
Origem
Local NFC Forum
Autor NFC Forum
Empresa

Nome NFC Data Exchange Format (NDEF) Technical Specification NFC Forum
Documento
Nome Arquivo NFC Data Exchange Format (NDEF).pdf
Data 24/07/2006
Evento / NFC Forum
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome NFC Digital Protocol Technical Specification NFC Forum

Documento
Nome Arquivo NFC Digital Protocol.pdf
Data 17/11/2010
Evento / NFC Forum
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome NFC Record Type Definition (RTD) Technical Specification NFC ForumTM
Documento
Nome Arquivo NFC Record Type Definition.pdf
Data 24/07/2006
Evento / NFC Forum
Origem
 86
Local

Autor NFC Forum

Empresa NFC Forum

Nome Essentials for Successful NFC Mobile Ecosystems White Paper

Documento
Nome Arquivo NFC_Forum_Mobile_NFC_Ecosystem_White_Paper.pdf
Data out/08
Evento / NFC Forum
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome NFC and Transit

Documento
Nome Arquivo NFC_Forum_Presentation_SCA_Transportation_Council_Meeting_Final.pdf
Data 19/09/2012
Evento / SCA Transportation Council Meeting
Origem
Local Philadelphia - EUA
Autor Peter Preuss
Empresa Nokia

Nome Secure Token Container

Documento
Nome Arquivo NFC_Forum_Ticketing_General_Gerald_Madlmayr.pdf
Data

Evento / Hagenberg R&D Competence Center

Origem
Local Hagenberg - Austria
Autor Gerald Madlmayr
Empresa Hagenberg R&D Competence Center

Nome NFC in Public Transport

Documento
Nome Arquivo NFC_in_Public_Transport.pdf
Data jan/09
Evento / NFC Forum
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome Mobile Payment mittels NFC

Documento
Nome Arquivo NFC_Payment_Gerald_Madlmayr.pdf
Data 30/05/2007
Evento / Hagenberg R&D Competence Center
Origem
Local Hagenberg - Austria
Autor Gerald Madlmayr
Empresa Hagenberg R&D Competence Center

Nome Smart Posters

Documento
Nome Arquivo NFC_Smart_Posters_White_Paper.pdf
Data abr/11
Evento / NFC Forum
Origem
Local
 87
Autor NFC Forum
Empresa NFC Forum

Nome The Value of NFC Forum Certification

Documento
Nome Arquivo NFCF_Certification_Program_APSCA_12.10.2012.pdf
Data 10/12/2012
Evento / NFC Forum
Origem
Local

Autor Peter Coster

Empresa Toppan Forms

Nome Bluetooth Secure Simple Pairing Using NFC Application Document

Documento
Nome Arquivo NFCForum_AD_BTSSP_1_0_1.pdf
Data 16/11/2012
Evento / NFC Forum
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome NFC Business Models: Summary and key findings

Documento
Nome Arquivo nfc-models-white-paper.pdf
Data

Evento / White Paper

Origem
Local

Autor Sarah Clark

Empresa SJB Research

Nome A SECURE CHANNEL PROTOCOL FOR MULTIAPPLICATION SMART CARDS BASED ON PUBLIC KEY CRYPTOGRAPHY
Documento
Nome Arquivo p3a1.pdf
Data

Evento / Artigo Acadêmico

Origem
Local Londres - Inglaterra
Autor Konstantinos Markantonakis, Keith Mayes
Empresa Universidade de Londres

Nome PN532/C1 Near Field Communication (NFC) controller

Documento
Nome Arquivo PN532_C1_SDS.pdf
Data 20/09/2012
Evento / Product short data sheet
Origem
Local

Autor NXP
Empresa NXP

Nome Protection Profile Smart Card IC with Multi-Application Secure Platform

Documento
Nome Arquivo PP0010.pdf
Data nov/00
Evento /
Origem
Local

Autor EUROSMART
 88
Empresa EUROSMART

Nome Protection Profile Smartcard Integrated Circuit

Documento
Nome Arquivo pp9806.pdf
Data set/98
Evento /
Origem
Local França
Autor Information Technology Security Certification Centre
Empresa Information Technology Security Certification Centre

Nome Leveraging NFC and the Contactless Financial Payments Infrastructure

Documento
Nome Arquivo Proximity_Mobile_Payments_200709.pdf
Data set/07
Evento / White Paper
Origem
Local

Autor Smart Card Alliance

Empresa Smart Card Alliance

Nome Secure Element and GlobalPlatform

Documento
Nome Arquivo Secure Element and GlobalPlatform.pdf
Data Ano 2008
Evento / 2ndNFC Business & Technical Developers Summit
Origem
Local EUA
Autor Gil BERNABEU
Empresa GlobalPlatform

Nome Smart Card Alliance Webinar

Documento
Nome Arquivo Secure_Elements_101_FINAL3_032813.pdf
Data 28/03/2013
Evento / Smart Card Alliance Webinar
Origem
Local

Autor Smart Card Alliance

Empresa Smart Card Alliance

Nome Signature Record Type Definition Technical Specification NFC Forum

Documento
Nome Arquivo Signature Record Type Definition.pdf
Data 18/11/2010
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome Simple NDEF Exchange Protocol Technical Specification

Documento
Nome Arquivo Simple NDEF Exchange Protocol.pdf
Data 37/08/2011
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum
 89
Nome Smart Poster Record Type Definition Technical Specification
Documento
Nome Arquivo Smart Poster Record Type Definition.pdf
Data 24/07/2006
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome What Makes a Smart Card Secure?

Documento
Nome Arquivo Smart_Card_Security_WP_20081013.pdf
Data set/98
Evento / White Paper
Origem
Local

Autor Smart Card Alliance

Empresa Smart Card Alliance

Nome Open NFC - Security Stack Specification

Documento
Nome Arquivo STS_NFC_1104-242 Open NFC - Security Stack Specification v0.5.pdf
Data 22/11/2010
Evento / Open NFC - Especificação Técnica
Origem
Local Provence - France
Autor Inside Secure
Empresa Inside Secure

Nome Text Record Type Definition Technical Specification

Documento
Nome Arquivo Text Record Type Definition.pdf
Data 24/07/2006
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome Type 1 Tag Operation Specification Technical Specification

Documento
Nome Arquivo Type 1 Tag Operation Specification.pdf
Data 13/07/2011
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome Type 2 Tag Operation Specification Technical Specification

Documento
Nome Arquivo Type 2 Tag Operation Specification.pdf
Data 31/05/2011
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome Type 3 Tag Operation Specification Technical Specification

 90
Documento

Nome Arquivo Type 3 Tag Operation Specification.pdf

Data 28/06/2011
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome Type 4 Tag Operation Specification Technical Specification

Documento
Nome Arquivo Type 4 Tag Operation Specification.pdf
Data 28/09/2011
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Nome EMV Profiles of GlobalPlatform UICC Configuration

Documento
Nome Arquivo UICC_Profiles_v1.0_Dec2010_2011112312532964.pdf
Data dez/10
Evento / Contactless Mobile Payment
Origem
Local

Autor EMVCo
Empresa EMVCo

Nome URI Record Type Definition Technical Specification

Documento
Nome Arquivo URI Record Type Definition.pdf
Data 24/07/2006
Evento / NFC Forum - Especificação Técnica
Origem
Local

Autor NFC Forum

Empresa NFC Forum

Livros

ROSS, Jeanne W.; WEILL, Peter e ROBERTSON, David C.- ARQUITETURA DE TI como Estratégia
Empresarial. São Paulo, M. Book do Brasil, 2008.
 91

Paginas Acessadas na Internet Data do acesso

http://www.teleco.com.br/pais/celular.asp/ Acessado em Janeiro de 2013
http://idgnow.uol.com.br/blog/plural/2012/03/28/mobile-payment-quando- Acessado em Janeiro de 2013
sera-que-vai-pegar-no-brasil/
http://www.isaca.org/cobit/pages/default.aspx Acessado em Janeiro de 2013
http://idgnow.uol.com.br/mobilidade/2012/12/28/numero-de-leitores-de-e- ACESSADO EM 22/04/2013 08:46
books-aumenta-nos-eua-diz-pesquisa/
http://idgnow.uol.com.br/internet/2008/12/15/celular-sera-principal-meio- ACESSADO EM 22/04/2013 08:53
de-acesso-a-web-em-2020-diz-estudo/
www.lsa.pcs.poli.usp.br/ Documento acessado em 8 de Abril de
2013
http://idgnow.uol.com.br/mobilidade/2012/03/22/operadoras-e-bancos- Acessado em 8 de Abril de 2013
querem-transformar-celular-em-meio-de-pagamento/#&panel2-1
http://www1.folha.uol.com.br/folha/informatica/ult124u350765.shtml Acessado em 22/04/2013 09:25
http://www.nfc-forum.org/aboutus/ Acessado em 15/01/2013 as 17:00 hrs.
http://www.nfc-forum.org/home/ Acessado em 10/07/2012 as 15:18
http://www.gsma.com/mobilenfc/ Acessado em 8 de Abril de 2013
http://www.emvco.com/about_emvco.aspx Acessado em 10/04/2013 as 15:18
Fonte: http://www.etsi.org/ Acessado em 21/02/2013 as 10:00 hrs
http://www.globalplatform.org/aboutus.asp Acessado em 10/02/2013 as 18:18
http://www.gsma.com/ Acessado em 15/01/2013 as 22:00 hrs
http://www.iso.org/iso/home/standards.htm Acessado em 28/04/2013 as 10:00
https://www.pcisecuritystandards.org/organization_info/index.php Acessado em 10/04/2013 as 15:18
http://csrc.nist.gov/publications/PubsFIPS.html Acessado em 10/04/2013 as 20:30
http://www.commoncriteriaportal.org/files/operatingprocedures/cc- Pagina 4, acessado em 10/04/2013 as
recarrange.pdf 22:30
Fonte: www.mifare4mobile.org/ Acessado em 21/02/2013 as 10:00 hrs
http://www.nxp.com/documents/short_data_sheet/PN532_C1_SDS.pdf acessado em 12/04/2013 as 14:30
www.mobeyforum.org acessado em 20/03/2013 as 08:30
http://www.visa.com.br/conteudo.asp?pg=1513 Acessado em 04/05/2013 as 20:00 hrs
http://www.oracle.com/technetwork/java/javacard/javacard1-139251.html Acessado em 04/05/2013 as 16:00 hrs
http://jcp.org/en/home/index Acessado em 15/01/2013 as 22:00 hrs
www.isaca.org Vários acessos durante a elaboração do
trabalho
http://nfctimes.com/nfc-projects Acessado em 06/05/2013 as 10:30 hrs