490 likes | 686 Views
Plataformas de Seguridad y Medios de Pago. Octubre 2007. Situación del Comercio Electrónico. Banda Ancha , América Latina y el Caribe fueron la tercera región de mayor crecimiento en las conexiones de banda ancha en los últimos tres años, y totalizó 8,2 millones
E N D
Plataformas de Seguridad y Medios de Pago Octubre 2007
Banda Ancha, América Latina y el Caribe fueron la tercera región de mayorcrecimiento en las conexiones de banda ancha en los últimos tres años, y totalizó 8,2 millones Medios de Pago Electrónico,La tarjeta de crédito es el medio preferido en la región, con el 90% de las transacciones. Fuente: América Economía Situación del Comercio Electrónico en Latinoamérica Usos Habituales de Internet
Situación del Comercio Electrónico en Latinoamérica Formas de Pago más Utilizadas Pagos por Internet en LAC • El 83% prefiere la tarjeta de crédito • El 9% prefiere la transferencia bancaria • El 6% paga en efectivo.
Situación del Comercio Electrónico en Latinoamérica Concentración del Comercio • La forma de pago preferida en la Red en la región es con tarjeta de crédito. • Viajes y Retail son los sectores más activos. Fuente: América Economía 2006
Situación del Comercio Electrónico en Latinoamérica Tendencias de Crecimiento • 2005, Volumen de E-Commerce: US$ 2.100 millones • Creció un 67%, versus el año anterior. • 2006, Se creció cerca de 50% para superar el los USD $3.000 millones. • Las proyecciones indican que el volumen superará los USD 11.000 millones en el 2010”.
La pasarela de pago constituye la última etapa de la tienda virtual. Mediante la contratación de una pasarela de pago con tarjeta de crédito, los clientes podrán realizar comprar en la tienda virtual. Es ideal que esta trabaje en servidor seguro SSL con VISA, MASTERCARD, AMERICAN EXPRESS y la mayor cantidad de marcas posibles. Plataforma de Pagos en línea Sistemas de Pago Electrónico Pasarela de Pagos
Plataforma de Pagos en línea Plug- In El Plug-in integra de manera segura la página Web de compra del comercio con la plataforma AMS utilizando Triple-DES y RSA para proteger la información que viajará por la conexión Web. El Plug-in está disponible en varios lenguajes de programación Web (Vg.: Java, .Net, ASP, PHP, Pearl (2006-2S). Cuando un tarjeta habiente, en cualquier lugar del mundo, presiona el botón “Comprar” en la página Web del comercio invoca al Plug-In que a su vez encripta la información del tarjeta habiente y de las compras realizadas.
Plataforma de Pagos en línea POSVirtual El Plug-in se conecta con el V-POS que es el módulo de captura de información de pago del comercio, que recibe y procesa los datos sensibles del tarjeta habiente y dependiendo del tipo de tarjeta y los requerimientos del emisor, comercio y adquirente inicia los flujos de autenticación y autorización.
Plataforma de Pagos en línea Si la tarjeta está protegida por los programas Verified by VISA o SecureCode el V-POS inicia el flujo de autenticación conectándolo con el MPI integrado a la plataforma esperando la interacción con el tarjeta habiente.
Plataforma de Pagos en línea MPIMerchant Plug-In El protocolo 3-D Secure requiere la interacción de un conjunto de servidores seguros (ACS por el lado emisor, MPI por el lado adquirente y otros del dominio de interoperabilidad) cuyo fin es autenticar al tarjeta habiente, brindando seguridad a los participantes de la autenticidad de la transacción.
Plataforma de Pagos en línea El ACS del emisor solicita la Autenticación al tarjetahabiente. En caso que el tarjetahabiente no esté enrolado, el ACS puede iniciar un proceso de Enrolamiento, ADC: Activación Durante la Compra.
Plataforma de Pagos en línea Flujo de trabajo STPServicio Transaccional de Pagos Una vez culminado el proceso el V-POS retoma el control y redirige el flujo hacia el STP que es el módulo de la pasarela de pagos responsable de validar las transacciones en base a las reglas de negocio configuradas para el Adquirente y/o Comercio, así como de armar los mensajes financieros.
Plataforma de Pagos en línea SwitchServicio Manejador de Transacciones El siguiente paso en el flujo transaccional es controlado por el SMT, módulo encargado de intercambiar los mensajes financieros con la Procesadora designada por el Adquirente y que se encuentra definida mediante un proceso administrativo preliminar.
Plataforma de Pagos en línea PTAProcesadora Transaccional El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, etc.) según los esquemas convenidos con cada una (VAP, MIP, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea.
Plataforma de Pagos en línea PTAProcesadora Transaccional ALIGNET El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, Amex, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea al V-POS. El comercio informa al Tarjetahabiente.
Plataforma de Pagos en línea SACSistema Administrador de Autenticaciones El módulo de consultas SAC permite realizar búsquedas de operaciones de autenticación tanto por los códigos del comercio como por el número de pedido o el número de la tarjeta (ó el Bin del emisor) con que fue realizada la operación, llegando al nivel más bajo de detalle.
Plataforma de Pagos en línea MóduloAdministrador de Trx. El V- Admin, o Virtual Admin, permite definir las políticas administrativas y gestionar la plataforma AMS mediante la definición de bines, usuarios, comercios y malls; planes y cuotas; filtrar y buscar transacciones; definir y gestionar lotes; entre otros.
Plataforma de Pagos en línea GATGenerador de Archivos de Pago A su vez, el GAT está encargado de armar/recolectar lotes liquidados según el horario configurado para cada Comercio y así generar su archivo de liquidación (TC57), el cuál posteriormente será recogido y procesado por el Adquirente.
Plataforma de Pagos en línea HSMHardware Security Module HSM es un dispositivo criptográfico de última generación que funciona como soporte automático de seguridad encriptando la información en los ámbitos interno y externo de la plataforma (ni aún los operadores y administradores tienen acceso a la información).
Aspectos de Seguridad Los aspectos de seguridad a considerarse para participar en comercio electrónico son los siguientes: Confidencialidad, evitar la exposición innecesaria de la información sensible. Autenticación, validar la autenticidad de los participantes Integridad, garantizar la inalterabilidad de la información. No repudio, asegurar la aceptación de responsabilidades de los integrantes del proceso.
Aspectos de Seguridad Confidencialidad / Autenticación / Integridad / No Repudio / Seguridad Comercio Banco Llave simétrica Llave simétrica PAN PAN Código detransacción Código detransacción Número de Intento Número de Intento 3DES DatosCifrados 3DES Carácter de Relleno Carácter de Relleno Firma RSA Firma RSA Firma Verificada Llave privada para firmar como el comercio Llave pública para validar la firma del comercio Firma digital datos
Phishing.- Intento de adquirir información sensible, como passwords y detalles de tarjetas de credito fingiendo ser una persona o empresa confiable mediante una comunicación electrónica (canales web e e-mail) Ataques.-Transmisión de data válida maliciosamebte repetida. Pharming.- Redirección automática de un website a otro website (maligno) modificando la configuración de la pc atacada con archivos (malwares) o atacando la infraestructura del DNS. Spyware.- Software malicioso que recolecta información personal del usuario sin su consentimiento (troyanos, gusanos, virus, keyloggers, etc) Rootkit.- Software que intenta correr procesos, archivos o data del sistema operativo usado por spywares para evitar su detección. Man-in-the-middle (MITM).- Ataque en donde el atacante puede leer, insertar y modificar a voluntad mensajes entre dos partes sin que ninguna lo sepa. Riesgos por Fraude Electrónico Amenazas Online
31 de Enero del 2002 visa, mediante una Carta a los Miembros hace de conocimiento que se hará el Cambio de responsabilidad desde abril 2003. • Lanzamiento del Programa de Pagos Autenticados Visa, • Introducción de una nueva tecnología de autenticación para transacciones de comercio electrónico denominada 3-D Secure, y el Traslado de Derechos de Contracargo (“Chargeback Rights Shift”) • Mastercard adoptó el programa en Octubre 2002 • A partir de junio 2005 rige reglamento de contacargos intra-regional • Desde Nov 2006 rige el cambio Global de responsabilidad. • Utiliza los mismos principios de Visa Riesgos por Fraude Electrónico / Reglamentos Operativos Programas Internacionales 3D Secure Verified by Visa MasterCard SecureCode
Seguridad y Riesgo Autenticación de compra (1) El TH decide pagar con tarjeta
La Solución para emisores Verifika ACS - Autenticación de compra (2) Autenticación: El TH sólo ingresa su clave de 3-D Secure
La Solución para emisores Verifika ACS - Autenticación de compra (3) Confirmación: La transacción fue autenticada y autorizada
Minimiza el fraude de tarjetas de crédito contra los comercios Los comercios en Internet son responsables de prevenir el fraude en su sitio Las verificaciones tradicionales AVS son inefectivas. 3D es un nivel inicial De manera efectiva valida identidad 150+ verificaciones correlacionadas Control de fraude a <1% Uso de inteligencia artificial y agrega transacciones de cientos de comercios y millones de transacciones Asociado y mejorado por Visa Ciclo cerrado de retroalimentación de Visa y validación del modelo Visión expandida de ambas, transacciones físicas y transacciones con tarjeta no presente Modelos de comercios Monitores de Fruades Herramientas de Monitoreo de Fraudes
Monitores de Fruades Herramientas de prevención de Fraudes Decision Manager • Puntuación • Códigos Aceptar AFS ReglasdeNegocio Activo Pasivo Gestiónde Casos Orden • Comercio • Global Velocidad Revisión Decisión LibreríaA Medida • Negativo • Positivo Listas Rechazar Suite de Reportes
Familarícese con el comportamiento de sus clientes Modifique la configuración por default basado en el conocimiento del perfil de su clientela No asuma el comportamiento de sus clientes Determine un nivel aceptable de riesgo para cada producto que Ud. estará ofreciendo Después de determinar un valor aceptable de riesgo para cada producto, de acuerdo con sus prácticas de negocios, Ud. Podrá desear ajustar su score_threshold Calcule sus costos de fraude Monitoree su data y ajústela convenientemente Monitores de Fruades Recomendaciones Básicas
Herramientas de Autenticación One Time Password
Token de autenticación o token criptográfico Dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación. Los tokens electrónicos tienen un tamaño pequeño y son normalmente diseñados para atarlos a un llavero. Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN. Existen más de una clase de token de autenticación, tenemos los bien conocidos generadores de contraseñas dinámicas "OTP" y la que comúnmente denominamos tokens USB, los cuales no solo permiten almacenar passwords y certificados, sino que permiten llevar la identidad digital de la persona. Herramientas de Autenticación Tokens
Token de autenticación movil. Solución de Seguridad Robusta y Accesible con amplia distribución. Concebido para sustituir los actuales dispositivos de hardware y tarjetas existentes en el mercado. Ofrece la misma facilidad y el mismo nivel de seguridad Para ser ejecutado en los celulares y PDAs remotos de los usuarios finales de las instituciones, con bajo costo y gran facilidad de distribución. Puede ser utilizado como mecanismo adicional de seguridad en aplicaciones de Banking (Internet Banking, retiros en ATMs, etc.) así como en aplicaciones genéricas de comercio electrónico que requieren señas de una única utilización - One Time Passwords. Disponibles para las tecnologías BREW (CDMA), J2ME (GSM/CMDA), WindowsMobile (GSM/CDMA), JavaCard y SIM Browsing, el ES Mobile Token es ideal para su distribución entre los usuarios finales - over the air (OTA) o a través del SIM Cards - utilizando cualesquiera de las Operadoras de Telefonía Móvil del país y aumentando significativamente la seguridad de sus aplicativos remotos. Técnicas en Criptografía de última generación. Herramientas de Autenticación Mobile Token o Token Celular
Herramientas de Autenticación Beneficios
Autenticación.- Proceso de validación de la identidad de un usuario final para asegurar que es quien dice ser. El método mas común es usando un nombre y un password, pero... Herramientas de Autenticación Conceptos de Seguridad Digital .....aun por tan fuerte que sea el password, este puede ser robado y ser usado sin aviso al legítimo propietario.
Password Biomertrico Utiliza el patrón de conducta de tipeo sobre el teclado para identificar al usuario. Cada persona posee su propia y única cadencia de tipeo sobre las teclas teclado. Posee un 99,7 por ciento de efectividad. La biometría es una solución de fácil aplicación, menor costo y alta seguridad. Opera a partir de la captura y comparación de un patrón de conducta del usuario sobre el teclado, garantizando su funcionamiento simultáneo y complementario a otros desarrollos destinados a la seguridad informática y sin modificar los hábitos del usuario. No conlleva la instalación de hardware adicional sobre los existentes, de modo que su implementación no implica costos adicionales. Herramientas de Autenticación Seguridad Biométrica
Herramientas de Autenticación Seguridad Biométrica