Post on 16-Apr-2017
Tendencias de seguridaden pagos por eCommerce
Alberto GonzálezPCI – ISA, CASP, SSCP
eCommerce
La compra o venta de bienes, servicios o transferencia de fondos sobre una red electrónica, usualmente Internet.
Diversas aplicaciones:- eMail (newsletters)- Catálogos en línea- Carritos de compra- Servicios web
HACKEOS RECIENTES
DATOS SENSIBLES(EN CARGOS POR TARJETA NO PRESENTE)
o Número de tarjeta
o CVV/CVC/CVV2
o Fecha de expiración
PROVEEDORES DE SERVICIOS DE PAGO
AgregadoresGateways de PagoServicios de Pago
TIPOS DE SERVICIO DE PROCESAMIENTO DE PAGOS
o Reenvío de datos de pago desde el portal eCommercei. El portal recibe los datos de tarjetaii. El portal reenvía los datos necesarios al procesador de
pagos
o Delegar la función de pagoi. Al momento del pago, el portal eCommerce entrega el
control de la acción al procesador de pagos.ii. Comúnmente implementado por medio de Interactive
Frames (iframe) o redireccionamientosiii. Una vez realizado el pago, el control regresa al portal
eCommerce
REENVÍO DE DATOS DE PAGODESDE EL PORTAL
Procesador de pagos
InternetDATOS DE TARJETA
CLIENTE
PORTAL E-COMMERCE
Envío del pago
DELEGAR LA FUNCIÓN DE PAGO
Procesador de pagos
InternetDATOS DE PRODUCTO
CLIENTE
PORTAL E-COMMERCE
Envío de notificación de
pagoDATOS DE PAGO
SEGURIDAD EN E-COMMERCE
Seguridad a nivel informático
Seguridad a nivel negocio
Seguridad a nivel usuario
SEGURIDAD INFORMÁTICA EN ECOMMERCE
Una forma de reducir el riesgo de ser comprometido es no recibiendo datos sensibles.
Debemos suponer que un cliente es inseguro y el portal deberá estar preparado para afrontarlo.
Se debe proteger la información sensible en sus 3 diferentes estados:
1. Transmisión2. Almacenamiento3. Procesamiento
HTTPS
Por mucho lo primero a tomar en cuenta
Se requiere una autoridad certificadora (CAs) o habilitarlo desde su proveedor de hosting.
Objetivos:1) Proteger la transmisión de
datos• datos de tarjetahabiente• información personal• etc.
2) Autenticar al sitio
HTTPS
Certificados gratuitos o de prueba
Funcional contra ataques a la capa aplicativa y DDoS
Acelera el contenido
Alta disponibilidad y redundancia
Sanea las solicitudes hacia el portal
Evita que los ataques lleguen a sus servidores
Fáciles de configurar
La mayoría provee certificados HTTPS
Soporte para HTTP/2 y TLS1.3
CONTENT DELIVERY NETWORKS (CDN)
CONTENT DELIVERY NETWORKS
CONTENT DELIVERY NETWORKS
ANÁLISIS DE VULNERABILIDADES
Útil contra ataques informáticos
XSS, SQL Injection, CSRF, explotación de vulnerabilidades,
etc.
TOKENIZACIÓN
Reemplazar datos con símbolos
Si requieres almacenar algún dato sensible, tokenízalo• Tarjetas• Identificadores
Se requiere un servicio para tokenizar/destokenizar.La mayoría de los proveedores de pago ya entregan tokens.
Ejemplo: las cookies de HTTP.
TOKEN
1234 5678 9012 3456
TOKENIZACIÓN
Internet
Procesador de pagos
HTTPS
CLIENTE
PORTAL E-COMMERCE
Envío del pago
Respuesta de pago /Envío de token
Almacenamientode token
Generación de token
Se utilizan mecanismos criptográficos para la generación de los tokens.
Estos mecanismos quedan fuera del alcance del portal eCommerce.
TOKENIZACIÓN
Si requieres almacenar algún dato sensible, tokenízalo
Almacenamiento del token
Monto Marca Tarjeta Terminación
$ 500.00 VISA 1234567890123456 9123
$ 1,200.00 Mastercard 4444555566668888 5509
3-D Secure
Protocolo que permite al consumidor autenticarse con su emisor de tarjeta al momento de realizar un pago en línea.
3 Dominios:1) El tarjetahabiente tendrá la certeza
de que su tarjeta no es utilizada sin su autorización.
2) Los comercios quedan protegidos contra fraude por contracargos
3) El banco emisor valida que la transacción es autenticada y tendrá mayor probabilidad de aprobación.
3-D Secure
3-D Secure v2.0
Autenticación en pagos desde aplicaciones y móviles
Experiencia de usuario mejorada al realizar decisiones
inteligentes basadas en riesgos
Uso mejorado de one-time passwords y datos conocidos en
el proceso
Soporte para modelos de autenticación definidos por los
emisores
Integración más natural al proceso de compra
Mejoras en la mensajería del protocolo
TARJETAS DIGITALES
Generación de tarjetas virtuales
Se puede definir monto
Se puede definir vigencia
IXE/Banorte y BBVA
No tiene costo
• Número de tarjeta• CVV/CVC dinámico• Fecha de expiración
NORMATIVAS
Payment Card Industryhttps://www.pcisecuritystandards.org/
Banco de Méxicohttp://www.banxico.org.mx/
Comisión Nacional Bancaria y de Valoreshttp://www.gob.mx/cnbv/
RSIMReglas de Seguridad Informática Mexicanas
RECOMENDACIONES (usuario)
Siempre pagar con tarjeta de crédito
Habilitar 3DSecure a sus tarjetas
En la medida de lo posible utilizar tarjetas digitales (IXE/Banorte, BBVA)
Validar, por medio del certificado, la autenticidad del sitio.
Habilitar notificaciones de pago por celular / email
RECOMENDACIONES (portal)
No recibir ni almacenar datos innecesarios
Configurar HTTPS en el portal: Let’s Encrypt
Habilitar 3DSecure en pagos por el portal*
Validar su seguridad (ASV): COMODO
Colocar un servicio tipo CDN frente al portal: CloudFlare
@albertx
albertx.mx/blog/
¡GRACIAS!