Conferencia impartida en la Semana Nacional del Emprendedor 2016, en la Ciudad de México relacionada a los modelos de pagos por eCommerce y su seguridad.
2. eCommerce
La compra o venta de bienes, servicios o transferencia de fondos
sobre una red electrónica, usualmente Internet.
Diversas aplicaciones:
- eMail (newsletters)
- Catálogos en línea
- Carritos de compra
- Servicios web
7. TIPOS DE SERVICIO DE PROCESAMIENTO
DE PAGOS
o Reenvío de datos de pago desde el portal eCommerce
i. El portal recibe los datos de tarjeta
ii. El portal reenvía los datos necesarios al procesador de
pagos
o Delegar la función de pago
i. Al momento del pago, el portal eCommerce entrega el
control de la acción al procesador de pagos.
ii. Comúnmente implementado por medio de Interactive
Frames (iframe) o redireccionamientos
iii. Una vez realizado el pago, el control regresa al portal
eCommerce
8. REENVÍO DE DATOS DE PAGO
DESDE EL PORTAL
Procesador de
pagos
Internet
DATOS DE TARJETA
CLIENTE
PORTAL E-COMMERCE
Envío
del pago
9. DELEGAR LA FUNCIÓN DE PAGO
Procesador de
pagos
Internet
CLIENTE
PORTAL E-COMMERCE
Envío de
notificación de
pago
10. SEGURIDAD EN E-COMMERCE
Seguridad a nivel informático
Seguridad a nivel negocio
Seguridad a nivel usuario
11. SEGURIDAD INFORMÁTICA EN
ECOMMERCE
Una forma de reducir el riesgo de ser comprometido es no
recibiendo datos sensibles.
Debemos suponer que un cliente es inseguro y el portal
deberá estar preparado para afrontarlo.
Se debe proteger la información sensible en sus 3
diferentes estados:
1. Transmisión
2. Almacenamiento
3. Procesamiento
12. HTTPS
Por mucho lo primero a tomar en
cuenta
Se requiere una autoridad
certificadora (CAs) o habilitarlo
desde su proveedor de hosting.
Objetivos:
1) Proteger la transmisión de
datos
• datos de tarjetahabiente
• información personal
• etc.
2) Autenticar al sitio
14. Funcional contra ataques a la capa aplicativa
y DDoS
Acelera el contenido
Alta disponibilidad y redundancia
Sanea las solicitudes hacia el portal
Evita que los ataques lleguen a sus servidores
Fáciles de configurar
La mayoría provee certificados HTTPS
Soporte para HTTP/2 y TLS1.3
CONTENT DELIVERY NETWORKS
(CDN)
17. ANÁLISIS DE VULNERABILIDADES
Útil contra ataques informáticos
XSS, SQL Injection, CSRF, explotación de
vulnerabilidades, etc.
18. TOKENIZACIÓN
Reemplazar datos con símbolos
Si requieres almacenar algún dato
sensible, tokenízalo
• Tarjetas
• Identificadores
Se requiere un servicio para
tokenizar/destokenizar.
La mayoría de los proveedores de
pago ya entregan tokens.
Ejemplo: las cookies de HTTP.
TOKEN
1234 5678 9012 3456
20. TOKENIZACIÓN
Si requieres almacenar algún dato sensible, tokenízalo
Almacenamiento del token
Monto Marca Tarjeta Terminación
$ 500.00 VISA 1234567890123456 9123
$ 1,200.00 Mastercard 4444555566668888 5509
21. 3-D Secure
Protocolo que permite al consumidor
autenticarse con su emisor de tarjeta
al momento de realizar un pago en
línea.
3 Dominios:
1) El tarjetahabiente tendrá la certeza
de que su tarjeta no es utilizada sin
su autorización.
2) Los comercios quedan protegidos
contra fraude por contracargos
3) El banco emisor valida que la
transacción es autenticada y tendrá
mayor probabilidad de aprobación.
23. 3-D Secure v2.0
Autenticación en pagos desde aplicaciones y móviles
Experiencia de usuario mejorada al realizar decisiones
inteligentes basadas en riesgos
Uso mejorado de one-time passwords y datos conocidos
en el proceso
Soporte para modelos de autenticación definidos por los
emisores
Integración más natural al proceso de compra
Mejoras en la mensajería del protocolo
24. TARJETAS DIGITALES
Generación de tarjetas virtuales
Se puede definir monto
Se puede definir vigencia
IXE/Banorte y BBVA
No tiene costo
• Número de tarjeta
• CVV/CVC dinámico
• Fecha de expiración
27. RECOMENDACIONES (usuario)
Siempre pagar con tarjeta de crédito
Habilitar 3DSecure a sus tarjetas
En la medida de lo posible utilizar tarjetas
digitales (IXE/Banorte, BBVA)
Validar, por medio del certificado, la
autenticidad del sitio.
Habilitar notificaciones de pago por celular /
email
28. RECOMENDACIONES (portal)
No recibir ni almacenar datos innecesarios
Configurar HTTPS en el portal: Let’s Encrypt
Habilitar 3DSecure en pagos por el portal*
Validar su seguridad (ASV): COMODO
Colocar un servicio tipo CDN frente al portal: CloudFlare