Tendencias de seguridad en pagos por eCommerce

29
Tendencias de seguridad en pagos por eCommerce Alberto González PCI – ISA, CASP, SSCP

Transcript of Tendencias de seguridad en pagos por eCommerce

Page 1: Tendencias de seguridad en pagos por eCommerce

Tendencias de seguridaden pagos por eCommerce

Alberto GonzálezPCI – ISA, CASP, SSCP

Page 2: Tendencias de seguridad en pagos por eCommerce

eCommerce

La compra o venta de bienes, servicios o transferencia de fondos sobre una red electrónica, usualmente Internet.

Diversas aplicaciones:- eMail (newsletters)- Catálogos en línea- Carritos de compra- Servicios web

Page 3: Tendencias de seguridad en pagos por eCommerce
Page 4: Tendencias de seguridad en pagos por eCommerce

HACKEOS RECIENTES

Page 5: Tendencias de seguridad en pagos por eCommerce

DATOS SENSIBLES(EN CARGOS POR TARJETA NO PRESENTE)

o Número de tarjeta

o CVV/CVC/CVV2

o Fecha de expiración

Page 6: Tendencias de seguridad en pagos por eCommerce

PROVEEDORES DE SERVICIOS DE PAGO

AgregadoresGateways de PagoServicios de Pago

Page 7: Tendencias de seguridad en pagos por eCommerce

TIPOS DE SERVICIO DE PROCESAMIENTO DE PAGOS

o Reenvío de datos de pago desde el portal eCommercei. El portal recibe los datos de tarjetaii. El portal reenvía los datos necesarios al procesador de

pagos

o Delegar la función de pagoi. Al momento del pago, el portal eCommerce entrega el

control de la acción al procesador de pagos.ii. Comúnmente implementado por medio de Interactive

Frames (iframe) o redireccionamientosiii. Una vez realizado el pago, el control regresa al portal

eCommerce

Page 8: Tendencias de seguridad en pagos por eCommerce

REENVÍO DE DATOS DE PAGODESDE EL PORTAL

Procesador de pagos

InternetDATOS DE TARJETA

CLIENTE

PORTAL E-COMMERCE

Envío del pago

Page 9: Tendencias de seguridad en pagos por eCommerce

DELEGAR LA FUNCIÓN DE PAGO

Procesador de pagos

InternetDATOS DE PRODUCTO

CLIENTE

PORTAL E-COMMERCE

Envío de notificación de

pagoDATOS DE PAGO

Page 10: Tendencias de seguridad en pagos por eCommerce

SEGURIDAD EN E-COMMERCE

Seguridad a nivel informático

Seguridad a nivel negocio

Seguridad a nivel usuario

Page 11: Tendencias de seguridad en pagos por eCommerce

SEGURIDAD INFORMÁTICA EN ECOMMERCE

Una forma de reducir el riesgo de ser comprometido es no recibiendo datos sensibles.

Debemos suponer que un cliente es inseguro y el portal deberá estar preparado para afrontarlo.

Se debe proteger la información sensible en sus 3 diferentes estados:

1. Transmisión2. Almacenamiento3. Procesamiento

Page 12: Tendencias de seguridad en pagos por eCommerce

HTTPS

Por mucho lo primero a tomar en cuenta

Se requiere una autoridad certificadora (CAs) o habilitarlo desde su proveedor de hosting.

Objetivos:1) Proteger la transmisión de

datos• datos de tarjetahabiente• información personal• etc.

2) Autenticar al sitio

Page 13: Tendencias de seguridad en pagos por eCommerce

HTTPS

Certificados gratuitos o de prueba

Page 14: Tendencias de seguridad en pagos por eCommerce

Funcional contra ataques a la capa aplicativa y DDoS

Acelera el contenido

Alta disponibilidad y redundancia

Sanea las solicitudes hacia el portal

Evita que los ataques lleguen a sus servidores

Fáciles de configurar

La mayoría provee certificados HTTPS

Soporte para HTTP/2 y TLS1.3

CONTENT DELIVERY NETWORKS (CDN)

Page 15: Tendencias de seguridad en pagos por eCommerce

CONTENT DELIVERY NETWORKS

Page 16: Tendencias de seguridad en pagos por eCommerce

CONTENT DELIVERY NETWORKS

Page 17: Tendencias de seguridad en pagos por eCommerce

ANÁLISIS DE VULNERABILIDADES

Útil contra ataques informáticos

XSS, SQL Injection, CSRF, explotación de vulnerabilidades,

etc.

Page 18: Tendencias de seguridad en pagos por eCommerce

TOKENIZACIÓN

Reemplazar datos con símbolos

Si requieres almacenar algún dato sensible, tokenízalo• Tarjetas• Identificadores

Se requiere un servicio para tokenizar/destokenizar.La mayoría de los proveedores de pago ya entregan tokens.

Ejemplo: las cookies de HTTP.

TOKEN

1234 5678 9012 3456

Page 19: Tendencias de seguridad en pagos por eCommerce

TOKENIZACIÓN

Internet

Procesador de pagos

HTTPS

CLIENTE

PORTAL E-COMMERCE

Envío del pago

Respuesta de pago /Envío de token

Almacenamientode token

Generación de token

Se utilizan mecanismos criptográficos para la generación de los tokens.

Estos mecanismos quedan fuera del alcance del portal eCommerce.

Page 20: Tendencias de seguridad en pagos por eCommerce

TOKENIZACIÓN

Si requieres almacenar algún dato sensible, tokenízalo

Almacenamiento del token

Monto Marca Tarjeta Terminación

$ 500.00 VISA 1234567890123456 9123

$ 1,200.00 Mastercard 4444555566668888 5509

Page 21: Tendencias de seguridad en pagos por eCommerce

3-D Secure

Protocolo que permite al consumidor autenticarse con su emisor de tarjeta al momento de realizar un pago en línea.

3 Dominios:1) El tarjetahabiente tendrá la certeza

de que su tarjeta no es utilizada sin su autorización.

2) Los comercios quedan protegidos contra fraude por contracargos

3) El banco emisor valida que la transacción es autenticada y tendrá mayor probabilidad de aprobación.

Page 22: Tendencias de seguridad en pagos por eCommerce

3-D Secure

Page 23: Tendencias de seguridad en pagos por eCommerce

3-D Secure v2.0

Autenticación en pagos desde aplicaciones y móviles

Experiencia de usuario mejorada al realizar decisiones

inteligentes basadas en riesgos

Uso mejorado de one-time passwords y datos conocidos en

el proceso

Soporte para modelos de autenticación definidos por los

emisores

Integración más natural al proceso de compra

Mejoras en la mensajería del protocolo

Page 24: Tendencias de seguridad en pagos por eCommerce

TARJETAS DIGITALES

Generación de tarjetas virtuales

Se puede definir monto

Se puede definir vigencia

IXE/Banorte y BBVA

No tiene costo

• Número de tarjeta• CVV/CVC dinámico• Fecha de expiración

Page 25: Tendencias de seguridad en pagos por eCommerce

NORMATIVAS

Payment Card Industryhttps://www.pcisecuritystandards.org/

Banco de Méxicohttp://www.banxico.org.mx/

Comisión Nacional Bancaria y de Valoreshttp://www.gob.mx/cnbv/

RSIMReglas de Seguridad Informática Mexicanas

Page 26: Tendencias de seguridad en pagos por eCommerce
Page 27: Tendencias de seguridad en pagos por eCommerce

RECOMENDACIONES (usuario)

Siempre pagar con tarjeta de crédito

Habilitar 3DSecure a sus tarjetas

En la medida de lo posible utilizar tarjetas digitales (IXE/Banorte, BBVA)

Validar, por medio del certificado, la autenticidad del sitio.

Habilitar notificaciones de pago por celular / email

Page 28: Tendencias de seguridad en pagos por eCommerce

RECOMENDACIONES (portal)

No recibir ni almacenar datos innecesarios

Configurar HTTPS en el portal: Let’s Encrypt

Habilitar 3DSecure en pagos por el portal*

Validar su seguridad (ASV): COMODO

Colocar un servicio tipo CDN frente al portal: CloudFlare

Page 29: Tendencias de seguridad en pagos por eCommerce

@albertx

albertx.mx/blog/

¡GRACIAS!