Conferencia impartida en la Semana Nacional del Emprendedor 2016, en la Ciudad de México relacionada a los modelos de pagos por eCommerce y su seguridad.

1. Tendencias de seguridad
en pagos por eCommerce
Alberto González
PCI – ISA, CASP, SSCP

2. eCommerce
La compra o venta de bienes, servicios o transferencia de fondos
sobre una red electrónica, usualmente Internet.
Diversas aplicaciones:
- eMail (newsletters)
- Catálogos en línea
- Carritos de compra
- Servicios web

4. HACKEOS RECIENTES

5. DATOS SENSIBLES
(EN CARGOS POR TARJETA NO PRESENTE)
o Número de tarjeta
o CVV/CVC/CVV2
o Fecha de expiración

6. PROVEEDORES DE SERVICIOS DE PAGO
Agregadores
Gateways de Pago
Servicios de Pago

7. TIPOS DE SERVICIO DE PROCESAMIENTO
DE PAGOS
o Reenvío de datos de pago desde el portal eCommerce
i. El portal recibe los datos de tarjeta
ii. El portal reenvía los datos necesarios al procesador de
pagos
o Delegar la función de pago
i. Al momento del pago, el portal eCommerce entrega el
control de la acción al procesador de pagos.
ii. Comúnmente implementado por medio de Interactive
Frames (iframe) o redireccionamientos
iii. Una vez realizado el pago, el control regresa al portal
eCommerce

8. REENVÍO DE DATOS DE PAGO
DESDE EL PORTAL
Procesador de
pagos
Internet
DATOS DE TARJETA
CLIENTE
PORTAL E-COMMERCE
Envío
del pago

9. DELEGAR LA FUNCIÓN DE PAGO
Procesador de
pagos
Internet
CLIENTE
PORTAL E-COMMERCE
Envío de
notificación de
pago

10. SEGURIDAD EN E-COMMERCE
 Seguridad a nivel informático
 Seguridad a nivel negocio
 Seguridad a nivel usuario

11. SEGURIDAD INFORMÁTICA EN
ECOMMERCE
 Una forma de reducir el riesgo de ser comprometido es no
recibiendo datos sensibles.
 Debemos suponer que un cliente es inseguro y el portal
deberá estar preparado para afrontarlo.
 Se debe proteger la información sensible en sus 3
diferentes estados:
1. Transmisión
2. Almacenamiento
3. Procesamiento

12. HTTPS
Por mucho lo primero a tomar en
cuenta
Se requiere una autoridad
certificadora (CAs) o habilitarlo
desde su proveedor de hosting.
Objetivos:
1) Proteger la transmisión de
datos
• datos de tarjetahabiente
• información personal
• etc.
2) Autenticar al sitio

13. HTTPS
Certificados gratuitos o de prueba

14. Funcional contra ataques a la capa aplicativa
y DDoS
 Acelera el contenido
 Alta disponibilidad y redundancia
 Sanea las solicitudes hacia el portal
 Evita que los ataques lleguen a sus servidores
 Fáciles de configurar
 La mayoría provee certificados HTTPS
 Soporte para HTTP/2 y TLS1.3
CONTENT DELIVERY NETWORKS
(CDN)

15. CONTENT DELIVERY NETWORKS

16. CONTENT DELIVERY NETWORKS

17. ANÁLISIS DE VULNERABILIDADES
 Útil contra ataques informáticos
 XSS, SQL Injection, CSRF, explotación de
vulnerabilidades, etc.

18. TOKENIZACIÓN
Reemplazar datos con símbolos
Si requieres almacenar algún dato
sensible, tokenízalo
• Tarjetas
• Identificadores
Se requiere un servicio para
tokenizar/destokenizar.
La mayoría de los proveedores de
pago ya entregan tokens.
Ejemplo: las cookies de HTTP.
TOKEN
1234 5678 9012 3456

19. TOKENIZACIÓN
Internet
Procesador de
pagos
HTTPS
CLIENTE
PORTAL E-COMMERCE
Envío
del pago
Respuesta de pago /
Envío de token
Almacenamiento
de token
Generación
de token
Se utilizan mecanismos criptográficos
para la generación de los tokens.
Estos mecanismos quedan fuera del
alcance del portal eCommerce.

20. TOKENIZACIÓN
Si requieres almacenar algún dato sensible, tokenízalo
Almacenamiento del token
Monto Marca Tarjeta Terminación
$ 500.00 VISA 1234567890123456 9123
$ 1,200.00 Mastercard 4444555566668888 5509

21. 3-D Secure
Protocolo que permite al consumidor
autenticarse con su emisor de tarjeta
al momento de realizar un pago en
línea.
3 Dominios:
1) El tarjetahabiente tendrá la certeza
de que su tarjeta no es utilizada sin
su autorización.
2) Los comercios quedan protegidos
contra fraude por contracargos
3) El banco emisor valida que la
transacción es autenticada y tendrá
mayor probabilidad de aprobación.

22. 3-D Secure

23. 3-D Secure v2.0
 Autenticación en pagos desde aplicaciones y móviles
 Experiencia de usuario mejorada al realizar decisiones
inteligentes basadas en riesgos
 Uso mejorado de one-time passwords y datos conocidos
en el proceso
 Soporte para modelos de autenticación definidos por los
emisores
 Integración más natural al proceso de compra
 Mejoras en la mensajería del protocolo

24. TARJETAS DIGITALES
 Generación de tarjetas virtuales
 Se puede definir monto
 Se puede definir vigencia
 IXE/Banorte y BBVA
 No tiene costo
• Número de tarjeta
• CVV/CVC dinámico
• Fecha de expiración

25. NORMATIVAS
Payment Card Industry
https://www.pcisecuritystandards.org/
Banco de México
http://www.banxico.org.mx/
Comisión Nacional Bancaria y de Valores
http://www.gob.mx/cnbv/
RSIM
Reglas de Seguridad Informática Mexicanas

27. RECOMENDACIONES (usuario)
 Siempre pagar con tarjeta de crédito
 Habilitar 3DSecure a sus tarjetas
 En la medida de lo posible utilizar tarjetas
digitales (IXE/Banorte, BBVA)
 Validar, por medio del certificado, la
autenticidad del sitio.
 Habilitar notificaciones de pago por celular /
email

28. RECOMENDACIONES (portal)
 No recibir ni almacenar datos innecesarios
 Configurar HTTPS en el portal: Let’s Encrypt
 Habilitar 3DSecure en pagos por el portal*
 Validar su seguridad (ASV): COMODO
 Colocar un servicio tipo CDN frente al portal: CloudFlare

29. @albertx
albertx.mx/blog/
¡GRACIAS!