Date post: | 27-Jan-2016 |
Category: |
Documents |
Upload: | constanza-rebolledo |
View: | 216 times |
Download: | 1 times |
Octubre 2007
Plataformas de Seguridad y Medios de Pago
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Situación del Comercio Electrónico
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Situación del Comercio Electrónico en Latinoamérica
Usos Habituales de Internet
Banda Ancha, América Latina y el Caribe fueron la tercera región de mayor crecimiento en las conexiones de banda ancha en los últimos tres años, y totalizó8,2 millones
Medios de Pago Electrónico, La tarjeta de crédito es el medio preferido en la región, con el 90% de las transacciones.
Fuente: América Economía
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Formas de Pago más Utilizadas
Pagos por Internet en LAC • El 83% prefiere la tarjeta de crédito• El 9% prefiere la transferencia bancaria• El 6% paga en efectivo.
Situación del Comercio Electrónico en Latinoamérica
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Concentración del Comercio
• La forma de pago preferida en la Red en la región es con tarjeta de crédito. • Viajes y Retail son los sectores más activos.
Fuente: América Economía 2006
Situación del Comercio Electrónico en Latinoamérica
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Crecimiento de E-Commerce
$3,000
$1,250$2,100
$11,000
2004 2005 2006 2007 2008 2009 2010
Tendencias de Crecimiento
• 2005, Volumen de E-Commerce: US$ 2.100 millones
• Creció un 67%, versus el año anterior.
• 2006, Se creció cerca de 50% para superar el los USD $3.000 millones.
• Las proyecciones indican que el volumen superará los USD 11.000 millones en el 2010”.
Situación del Comercio Electrónico en Latinoamérica
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Sistemas de Pago Electrónico
Pasarela de Pagos
La pasarela de pago constituye la última etapa de la tienda virtual. Mediante la contratación de una pasarela de pago con tarjeta de crédito, los clientes podrán realizar comprar en la tienda virtual.
Es ideal que esta trabaje en servidor seguro SSL con VISA, MASTERCARD, AMERICAN EXPRESS y la mayor cantidad de marcas posibles.
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Cuando un tarjeta habiente, en cualquier lugar del mundo, presiona el botón “Comprar” en la página Web del comercio invoca al Plug-In que a su vez encripta la información del tarjeta habiente y de las compras realizadas.
Cuando un tarjeta habiente, en cualquier lugar del mundo, presiona el botón “Comprar” en la página Web del comercio invoca al Plug-In que a su vez encripta la información del tarjeta habiente y de las compras realizadas.
Plug- In
El Plug-in integra de manera segura la página Web de compra del comercio con la plataforma AMS utilizando Triple-DES y RSA para proteger la información que viajará por la conexión Web. El Plug-in está disponible en varios lenguajes de programación Web (Vg.: Java, .Net, ASP, PHP, Pearl (2006-2S).
El Plug-in integra de manera segura la página Web de compra del comercio con la plataforma AMS utilizando Triple-DES y RSA para proteger la información que viajará por la conexión Web. El Plug-in está disponible en varios lenguajes de programación Web (Vg.: Java, .Net, ASP, PHP, Pearl (2006-2S).
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
POSVirtual
El Plug-in se conecta con el V-POS que es el módulo de captura de información de pago del comercio, que recibe y procesa los datos sensibles del tarjeta habiente y dependiendo del tipo de tarjeta y los requerimientos del emisor, comercio y adquirente inicia los flujos de autenticación y autorización.
El Plug-in se conecta con el V-POS que es el módulo de captura de información de pago del comercio, que recibe y procesa los datos sensibles del tarjeta habiente y dependiendo del tipo de tarjeta y los requerimientos del emisor, comercio y adquirente inicia los flujos de autenticación y autorización.
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Si la tarjeta está protegida por los programas Verified by VISA o SecureCode el V-POS inicia el flujo de autenticación conectándolo con el MPI integrado a la plataforma esperando la interacción con el tarjeta habiente.
Si la tarjeta está protegida por los programas Verified by VISA o SecureCode el V-POS inicia el flujo de autenticación conectándolo con el MPI integrado a la plataforma esperando la interacción con el tarjeta habiente.
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
El protocolo 3-D Secure requiere la interacción de un conjunto de servidores seguros (ACS por el lado emisor, MPI por el lado adquirente y otros del dominio de interoperabilidad) cuyo fin es autenticar al tarjeta habiente, brindando seguridad a los participantes de la autenticidad de la transacción.
El protocolo 3-D Secure requiere la interacción de un conjunto de servidores seguros (ACS por el lado emisor, MPI por el lado adquirente y otros del dominio de interoperabilidad) cuyo fin es autenticar al tarjeta habiente, brindando seguridad a los participantes de la autenticidad de la transacción.
MPIMerchant Plug-In
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
El ACS del emisor solicita la Autenticación al tarjetahabiente. En caso que el tarjetahabiente no esté enrolado, el ACS puede iniciar un proceso de Enrolamiento, ADC: Activación Durante la Compra.
El ACS del emisor solicita la Autenticación al tarjetahabiente. En caso que el tarjetahabiente no esté enrolado, el ACS puede iniciar un proceso de Enrolamiento, ADC: Activación Durante la Compra.
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Flujo de trabajo
Una vez culminado el proceso el V-POS retoma el control y redirige el flujo hacia el STP que es el módulo de la pasarela de pagos responsable de validar las transacciones en base a las reglas de negocio configuradas para el Adquirente y/o Comercio, así como de armar los mensajes financieros.
Una vez culminado el proceso el V-POS retoma el control y redirige el flujo hacia el STP que es el módulo de la pasarela de pagos responsable de validar las transacciones en base a las reglas de negocio configuradas para el Adquirente y/o Comercio, así como de armar los mensajes financieros.
STPServicio Transaccional de Pagos
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
El siguiente paso en el flujo transaccional es controlado por el SMT, módulo encargado de intercambiar los mensajes financieros con la Procesadora designada por el Adquirente y que se encuentra definida mediante un proceso administrativo preliminar.
El siguiente paso en el flujo transaccional es controlado por el SMT, módulo encargado de intercambiar los mensajes financieros con la Procesadora designada por el Adquirente y que se encuentra definida mediante un proceso administrativo preliminar.
SwitchServicio Manejador de Transacciones
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, etc.) según los esquemas convenidos con cada una (VAP, MIP, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea.
El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, etc.) según los esquemas convenidos con cada una (VAP, MIP, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea.
PTAProcesadora Transaccional
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, Amex, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea al V-POS. El comercio informa al Tarjetahabiente.
El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, Amex, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea al V-POS. El comercio informa al Tarjetahabiente.
PTAProcesadora Transaccional ALIGNET
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
El módulo de consultas SAC permite realizar búsquedas de operaciones de autenticación tanto por los códigos del comercio como por el número de pedido o el número de la tarjeta (ó el Bin del emisor) con que fue realizada la operación, llegando al nivel más bajo de detalle.
El módulo de consultas SAC permite realizar búsquedas de operaciones de autenticación tanto por los códigos del comercio como por el número de pedido o el número de la tarjeta (ó el Bin del emisor) con que fue realizada la operación, llegando al nivel más bajo de detalle.
SACSistema Administrador de Autenticaciones
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
El V- Admin, o Virtual Admin, permite definir las políticas administrativas y gestionar la plataforma AMS mediante la definición de bines, usuarios, comercios y malls; planes y cuotas; filtrar y buscar transacciones; definir y gestionar lotes; entre otros.
El V- Admin, o Virtual Admin, permite definir las políticas administrativas y gestionar la plataforma AMS mediante la definición de bines, usuarios, comercios y malls; planes y cuotas; filtrar y buscar transacciones; definir y gestionar lotes; entre otros.
MóduloAdministrador de Trx.
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
A su vez, el GAT está encargado de armar/recolectar lotes liquidados según el horario configurado para cada Comercio y así generar su archivo de liquidación (TC57), el cuál posteriormente será recogido y procesado por el Adquirente.
A su vez, el GAT está encargado de armar/recolectar lotes liquidados según el horario configurado para cada Comercio y así generar su archivo de liquidación (TC57), el cuál posteriormente será recogido y procesado por el Adquirente.
GATGenerador de Archivos de Pago
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
HSM es un dispositivo criptográfico de última generación que funciona como soporte automático de seguridad encriptando la información en los ámbitos interno y externo de la plataforma (ni aún los operadores y administradores tienen acceso a la información).
HSM es un dispositivo criptográfico de última generación que funciona como soporte automático de seguridad encriptando la información en los ámbitos interno y externo de la plataforma (ni aún los operadores y administradores tienen acceso a la información).
HSMHardware Security Module
Plataforma de Pagos en línea
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Plataforma de Pagos en línea / Módulo Administrativo
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Plataforma de Pagos en línea / Módulo Administrativo
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Plataforma de Pagos en línea / Módulo Administrativo
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Plataforma de Pagos en línea / Módulo Administrativo
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Seguridad y Riesgo
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Aspectos de Seguridad
Los aspectos de seguridad a considerarse para participar en comercio electrónico son los siguientes:
Confidencialidad, evitar la exposición innecesaria de la información sensible.
Autenticación, validar la autenticidad de los participantes
Integridad, garantizar la inalterabilidad de la información.
No repudio, asegurar la aceptación de responsabilidades de los integrantes del proceso.
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Aspectos de Seguridad
Confidencialidad / Autenticación / Integridad / No Repudio / Seguridad
Comercio Banco
Llave simétrica Llave simétricaPAN
Código detransacción
Número de Intento
Carácter de Relleno
3DES
Firma RSA
Llave privada para firmar como el
comercio
Llave pública para validar la firma del comercio
3DES
Firma RSA
Firma Verificada
PAN
Código detransacción
Número de Intento
Carácter de Relleno
DatosCifrados
Firma digital datos
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
• Phishing.- Intento de adquirir información sensible, como passwords y detalles de tarjetas de credito fingiendo ser una persona o empresa confiable mediante una comunicación electrónica (canales web e e-mail)
• Ataques.-Transmisión de data válida maliciosamebte repetida.• Pharming.- Redirección automática de un website a otro website
(maligno) modificando la configuración de la pc atacada con archivos (malwares) o atacando la infraestructura del DNS.
• Spyware.- Software malicioso que recolecta información personal del usuario sin su consentimiento (troyanos, gusanos, virus, keyloggers, etc)
• Rootkit.- Software que intenta correr procesos, archivos o data del sistema operativo usado por spywares para evitar su detección.
• Man-in-the-middle (MITM).- Ataque en donde el atacante puede leer, insertar y modificar a voluntad mensajes entre dos partes sin que ninguna lo sepa.
Amenazas Online
Riesgos por Fraude Electrónico
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Prevención del Riesgo
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
• 31 de Enero del 2002 visa, mediante una Carta a los Miembros hace de conocimiento que se hará el Cambio de responsabilidad desde abril 2003.
• Lanzamiento del Programa de Pagos Autenticados Visa,
• Introducción de una nueva tecnología de autenticación para transacciones de comercio electrónico denominada 3-D Secure, y el Traslado de Derechos de Contracargo (“Chargeback Rights Shift”)
Programas Internacionales 3D Secure
Verified by Visa
• Mastercard adoptó el programa en Octubre 2002
• A partir de junio 2005 rige reglamento de contacargos intra-regional
• Desde Nov 2006 rige el cambio Global de responsabilidad.
• Utiliza los mismos principios de Visa
MasterCard SecureCode
Riesgos por Fraude Electrónico / Reglamentos Operativos
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
(1) El TH decide pagar con tarjeta
Autenticación de compraSeguridad y Riesgo
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
(2) Autenticación: El TH sólo ingresa su clave de 3-D Secure
Verifika ACS - Autenticación de compraLa Solución para emisores
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Verifika ACS - Autenticación de compra
(3) Confirmación: La transacción fue autenticada y autorizada
La Solución para emisores
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Riesgo por Fraude Electrónico / Medidas y Herramientas
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Monitoreo de Fraudes
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Monitores de Fruades
Herramientas de Monitoreo de Fraudes
Minimiza el fraude de tarjetas de crédito contra los comercios
• Los comercios en Internet son responsables de prevenir el fraude en su sitio
• Las verificaciones tradicionales AVS son inefectivas. 3D es un nivel inicial
• De manera efectiva valida identidad
– 150+ verificaciones correlacionadas
– Control de fraude a <1%
• Uso de inteligencia artificial y agrega transacciones de cientos de comercios y millones de transacciones
• Asociado y mejorado por Visa
– Ciclo cerrado de retroalimentación de Visa y validación del modelo
– Visión expandida de ambas, transacciones físicas y transacciones con tarjeta no presente
– Modelos de comercios
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Monitores de Fruades
Herramientas de prevención de Fraudes
Decision Manager
AFS
Velocidad
Listas
Orden
Suite de ReportesSuite de Reportes
• Puntuación• Códigos
• Comercio• Global
• Negativo• Positivo
Reglasde
Negocio
Librería
A Medida
Ac
tiv
o
Pa
siv
o
Revisión
Aceptar
Rechazar
Gestiónde
CasosDecisión
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Monitores de Fruades
Recomendaciones Básicas
• Familarícese con el comportamiento de sus clientes• Modifique la configuración por default basado en el conocimiento del
perfil de su clientela • No asuma el comportamiento de sus clientes• Determine un nivel aceptable de riesgo para cada producto que Ud.
estará ofreciendo • Después de determinar un valor aceptable de riesgo para cada
producto, de acuerdo con sus prácticas de negocios, Ud. Podrá desear ajustar su score_threshold
• Calcule sus costos de fraude• Monitoree su data y ajústela convenientemente
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Herramientas de Autenticación
Comercio Electrónico Seguro
One Time Password
Herramientas de Autenticación
Comercio Electrónico Seguro
Token de autenticación o token criptográfico
• Dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.
• Los tokens electrónicos tienen un tamaño pequeño y son normalmente diseñados para atarlos a un llavero.
• Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN.
• Existen más de una clase de token de autenticación, tenemos los bien conocidos generadores de contraseñas dinámicas "OTP" y la que comúnmente denominamos tokens USB, los cuales no solo permiten almacenar passwords y certificados, sino que permiten llevar la identidad digital de la persona.
Tokens
Herramientas de Autenticación
Comercio Electrónico Seguro
Token de autenticación movil.
• Solución de Seguridad Robusta y Accesible con amplia distribución. • Concebido para sustituir los actuales dispositivos de hardware y tarjetas
existentes en el mercado.• Ofrece la misma facilidad y el mismo nivel de seguridad• Para ser ejecutado en los celulares y PDAs remotos de los usuarios finales
de las instituciones, con bajo costo y gran facilidad de distribución.• Puede ser utilizado como mecanismo adicional de seguridad en aplicaciones
de Banking (Internet Banking, retiros en ATMs, etc.) así como en aplicaciones genéricas de comercio electrónico que requieren señas de una única utilización - One Time Passwords.
• Disponibles para las tecnologías BREW (CDMA), J2ME (GSM/CMDA), WindowsMobile (GSM/CDMA), JavaCard y SIM Browsing, el ES Mobile Token es ideal para su distribución entre los usuarios finales - over the air (OTA) o a través del SIM Cards - utilizando cualesquiera de las Operadoras de Telefonía Móvil del país y aumentando significativamente la seguridad de sus aplicativos remotos.
• Técnicas en Criptografía de última generación.
Mobile Token o Token Celular
Herramientas de Autenticación
Comercio Electrónico Seguro
Beneficios
Herramientas de Autenticación
Comercio Electrónico Seguro
• Autenticación.- Proceso de validación de la identidad de un usuario final para asegurar que es quien dice ser. El método mas común es usando un nombre y un password, pero...
Conceptos de Seguridad Digital
.....aun por tan fuerte que sea el password, este puede ser robado y ser usado sin aviso al legítimo propietario.
Herramientas de Autenticación
Comercio Electrónico Seguro
Password Biomertrico
• Utiliza el patrón de conducta de tipeo sobre el teclado para identificar al usuario.
• Cada persona posee su propia y única cadencia de tipeo sobre las teclas teclado.
• Posee un 99,7 por ciento de efectividad.
• La biometría es una solución de fácil aplicación, menor costo y alta seguridad.
• Opera a partir de la captura y comparación de un patrón de conducta del usuario sobre el teclado, garantizando su funcionamiento simultáneo y complementario a otros desarrollos destinados a la seguridad informática y sin modificar los hábitos del usuario.
• No conlleva la instalación de hardware adicional sobre los existentes, de modo que su implementación no implica costos adicionales.
Seguridad Biométrica
Herramientas de Autenticación
Comercio Electrónico Seguro
Seguridad Biométrica
Herramientas de Autenticación
PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO
Muchas Gracias