tendencias de seguridad en pagos por ecommerce
TRANSCRIPT
![Page 1: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/1.jpg)
Tendencias de seguridaden pagos por eCommerce
Alberto GonzálezPCI – ISA, CASP, SSCP
![Page 2: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/2.jpg)
eCommerce
La compra o venta de bienes, servicios o transferencia de fondos sobre una red electrónica, usualmente Internet.
Diversas aplicaciones:- eMail (newsletters)- Catálogos en línea- Carritos de compra- Servicios web
![Page 3: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/3.jpg)
![Page 4: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/4.jpg)
HACKEOS RECIENTES
![Page 5: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/5.jpg)
DATOS SENSIBLES(EN CARGOS POR TARJETA NO PRESENTE)
o Número de tarjeta
o CVV/CVC/CVV2
o Fecha de expiración
![Page 6: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/6.jpg)
PROVEEDORES DE SERVICIOS DE PAGO
AgregadoresGateways de PagoServicios de Pago
![Page 7: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/7.jpg)
TIPOS DE SERVICIO DE PROCESAMIENTO DE PAGOS
o Reenvío de datos de pago desde el portal eCommercei. El portal recibe los datos de tarjetaii. El portal reenvía los datos necesarios al procesador de
pagos
o Delegar la función de pagoi. Al momento del pago, el portal eCommerce entrega el
control de la acción al procesador de pagos.ii. Comúnmente implementado por medio de Interactive
Frames (iframe) o redireccionamientosiii. Una vez realizado el pago, el control regresa al portal
eCommerce
![Page 8: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/8.jpg)
REENVÍO DE DATOS DE PAGODESDE EL PORTAL
Procesador de pagos
InternetDATOS DE TARJETA
CLIENTE
PORTAL E-COMMERCE
Envío del pago
![Page 9: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/9.jpg)
DELEGAR LA FUNCIÓN DE PAGO
Procesador de pagos
InternetDATOS DE PRODUCTO
CLIENTE
PORTAL E-COMMERCE
Envío de notificación de
pagoDATOS DE PAGO
![Page 10: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/10.jpg)
SEGURIDAD EN E-COMMERCE
Seguridad a nivel informático
Seguridad a nivel negocio
Seguridad a nivel usuario
![Page 11: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/11.jpg)
SEGURIDAD INFORMÁTICA EN ECOMMERCE
Una forma de reducir el riesgo de ser comprometido es no recibiendo datos sensibles.
Debemos suponer que un cliente es inseguro y el portal deberá estar preparado para afrontarlo.
Se debe proteger la información sensible en sus 3 diferentes estados:
1. Transmisión2. Almacenamiento3. Procesamiento
![Page 12: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/12.jpg)
HTTPS
Por mucho lo primero a tomar en cuenta
Se requiere una autoridad certificadora (CAs) o habilitarlo desde su proveedor de hosting.
Objetivos:1) Proteger la transmisión de
datos• datos de tarjetahabiente• información personal• etc.
2) Autenticar al sitio
![Page 13: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/13.jpg)
HTTPS
Certificados gratuitos o de prueba
![Page 14: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/14.jpg)
Funcional contra ataques a la capa aplicativa y DDoS
Acelera el contenido
Alta disponibilidad y redundancia
Sanea las solicitudes hacia el portal
Evita que los ataques lleguen a sus servidores
Fáciles de configurar
La mayoría provee certificados HTTPS
Soporte para HTTP/2 y TLS1.3
CONTENT DELIVERY NETWORKS (CDN)
![Page 15: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/15.jpg)
CONTENT DELIVERY NETWORKS
![Page 16: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/16.jpg)
CONTENT DELIVERY NETWORKS
![Page 17: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/17.jpg)
ANÁLISIS DE VULNERABILIDADES
Útil contra ataques informáticos
XSS, SQL Injection, CSRF, explotación de vulnerabilidades,
etc.
![Page 18: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/18.jpg)
TOKENIZACIÓN
Reemplazar datos con símbolos
Si requieres almacenar algún dato sensible, tokenízalo• Tarjetas• Identificadores
Se requiere un servicio para tokenizar/destokenizar.La mayoría de los proveedores de pago ya entregan tokens.
Ejemplo: las cookies de HTTP.
TOKEN
1234 5678 9012 3456
![Page 19: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/19.jpg)
TOKENIZACIÓN
Internet
Procesador de pagos
HTTPS
CLIENTE
PORTAL E-COMMERCE
Envío del pago
Respuesta de pago /Envío de token
Almacenamientode token
Generación de token
Se utilizan mecanismos criptográficos para la generación de los tokens.
Estos mecanismos quedan fuera del alcance del portal eCommerce.
![Page 20: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/20.jpg)
TOKENIZACIÓN
Si requieres almacenar algún dato sensible, tokenízalo
Almacenamiento del token
Monto Marca Tarjeta Terminación
$ 500.00 VISA 1234567890123456 9123
$ 1,200.00 Mastercard 4444555566668888 5509
![Page 21: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/21.jpg)
3-D Secure
Protocolo que permite al consumidor autenticarse con su emisor de tarjeta al momento de realizar un pago en línea.
3 Dominios:1) El tarjetahabiente tendrá la certeza
de que su tarjeta no es utilizada sin su autorización.
2) Los comercios quedan protegidos contra fraude por contracargos
3) El banco emisor valida que la transacción es autenticada y tendrá mayor probabilidad de aprobación.
![Page 22: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/22.jpg)
3-D Secure
![Page 23: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/23.jpg)
3-D Secure v2.0
Autenticación en pagos desde aplicaciones y móviles
Experiencia de usuario mejorada al realizar decisiones
inteligentes basadas en riesgos
Uso mejorado de one-time passwords y datos conocidos en
el proceso
Soporte para modelos de autenticación definidos por los
emisores
Integración más natural al proceso de compra
Mejoras en la mensajería del protocolo
![Page 24: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/24.jpg)
TARJETAS DIGITALES
Generación de tarjetas virtuales
Se puede definir monto
Se puede definir vigencia
IXE/Banorte y BBVA
No tiene costo
• Número de tarjeta• CVV/CVC dinámico• Fecha de expiración
![Page 25: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/25.jpg)
NORMATIVAS
Payment Card Industryhttps://www.pcisecuritystandards.org/
Banco de Méxicohttp://www.banxico.org.mx/
Comisión Nacional Bancaria y de Valoreshttp://www.gob.mx/cnbv/
RSIMReglas de Seguridad Informática Mexicanas
![Page 26: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/26.jpg)
![Page 27: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/27.jpg)
RECOMENDACIONES (usuario)
Siempre pagar con tarjeta de crédito
Habilitar 3DSecure a sus tarjetas
En la medida de lo posible utilizar tarjetas digitales (IXE/Banorte, BBVA)
Validar, por medio del certificado, la autenticidad del sitio.
Habilitar notificaciones de pago por celular / email
![Page 28: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/28.jpg)
RECOMENDACIONES (portal)
No recibir ni almacenar datos innecesarios
Configurar HTTPS en el portal: Let’s Encrypt
Habilitar 3DSecure en pagos por el portal*
Validar su seguridad (ASV): COMODO
Colocar un servicio tipo CDN frente al portal: CloudFlare
![Page 29: Tendencias de seguridad en pagos por eCommerce](https://reader036.vdocuments.pub/reader036/viewer/2022062503/58f3264a1a28abf65b8b456f/html5/thumbnails/29.jpg)
@albertx
albertx.mx/blog/
¡GRACIAS!