Octubre 2007 Plataformas de Seguridad y Medios de Pago.

Octubre 2007

Plataformas de Seguridad y Medios de Pago

PLATAFORMAS DE SEGURIDAD Y MEDIOS DE PAGO

Situación del Comercio Electrónico


Situación del Comercio Electrónico en Latinoamérica

Usos Habituales de Internet

Banda Ancha, América Latina y el Caribe fueron la tercera región de mayor crecimiento en las conexiones de banda ancha en los últimos tres años, y totalizó8,2 millones

Medios de Pago Electrónico, La tarjeta de crédito es el medio preferido en la región, con el 90% de las transacciones.

Fuente: América Economía


Formas de Pago más Utilizadas

Pagos por Internet en LAC • El 83% prefiere la tarjeta de crédito• El 9% prefiere la transferencia bancaria• El 6% paga en efectivo.


dcarranza

LE METI ALGUNAS CIFRAS MODERADAS TENIENDO EN CUENTA QUE NO TENEMOS EL NIVEL DE MEXICO O BRASIL.


Concentración del Comercio

• La forma de pago preferida en la Red en la región es con tarjeta de crédito. • Viajes y Retail son los sectores más activos.

Fuente: América Economía 2006


dcarranza

ESTAS CIFRAS GRANDES CREO QUE SI DEBERIAN IR.


Crecimiento de E-Commerce

$3,000

$1,250$2,100

$11,000

2004 2005 2006 2007 2008 2009 2010

Tendencias de Crecimiento

• 2005, Volumen de E-Commerce: US$ 2.100 millones

• Creció un 67%, versus el año anterior.

• 2006, Se creció cerca de 50% para superar el los USD $3.000 millones.

• Las proyecciones indican que el volumen superará los USD 11.000 millones en el 2010”.


dcarranza

LE METI ALGUNAS CIFRAS MODERADAS TENIENDO EN CUENTA QUE NO TENEMOS EL NIVEL DE MEXICO O BRASIL.


Sistemas de Pago Electrónico

Pasarela de Pagos

La pasarela de pago constituye la última etapa de la tienda virtual. Mediante la contratación de una pasarela de pago con tarjeta de crédito, los clientes podrán realizar comprar en la tienda virtual.

Es ideal que esta trabaje en servidor seguro SSL con VISA, MASTERCARD, AMERICAN EXPRESS y la mayor cantidad de marcas posibles.

Plataforma de Pagos en línea


Cuando un tarjeta habiente, en cualquier lugar del mundo, presiona el botón “Comprar” en la página Web del comercio invoca al Plug-In que a su vez encripta la información del tarjeta habiente y de las compras realizadas.

Cuando un tarjeta habiente, en cualquier lugar del mundo, presiona el botón “Comprar” en la página Web del comercio invoca al Plug-In que a su vez encripta la información del tarjeta habiente y de las compras realizadas.

Plug- In

El Plug-in integra de manera segura la página Web de compra del comercio con la plataforma AMS utilizando Triple-DES y RSA para proteger la información que viajará por la conexión Web. El Plug-in está disponible en varios lenguajes de programación Web (Vg.: Java, .Net, ASP, PHP, Pearl (2006-2S).

El Plug-in integra de manera segura la página Web de compra del comercio con la plataforma AMS utilizando Triple-DES y RSA para proteger la información que viajará por la conexión Web. El Plug-in está disponible en varios lenguajes de programación Web (Vg.: Java, .Net, ASP, PHP, Pearl (2006-2S).



POSVirtual

El Plug-in se conecta con el V-POS que es el módulo de captura de información de pago del comercio, que recibe y procesa los datos sensibles del tarjeta habiente y dependiendo del tipo de tarjeta y los requerimientos del emisor, comercio y adquirente inicia los flujos de autenticación y autorización.

El Plug-in se conecta con el V-POS que es el módulo de captura de información de pago del comercio, que recibe y procesa los datos sensibles del tarjeta habiente y dependiendo del tipo de tarjeta y los requerimientos del emisor, comercio y adquirente inicia los flujos de autenticación y autorización.



Si la tarjeta está protegida por los programas Verified by VISA o SecureCode el V-POS inicia el flujo de autenticación conectándolo con el MPI integrado a la plataforma esperando la interacción con el tarjeta habiente.

Si la tarjeta está protegida por los programas Verified by VISA o SecureCode el V-POS inicia el flujo de autenticación conectándolo con el MPI integrado a la plataforma esperando la interacción con el tarjeta habiente.



El protocolo 3-D Secure requiere la interacción de un conjunto de servidores seguros (ACS por el lado emisor, MPI por el lado adquirente y otros del dominio de interoperabilidad) cuyo fin es autenticar al tarjeta habiente, brindando seguridad a los participantes de la autenticidad de la transacción.

El protocolo 3-D Secure requiere la interacción de un conjunto de servidores seguros (ACS por el lado emisor, MPI por el lado adquirente y otros del dominio de interoperabilidad) cuyo fin es autenticar al tarjeta habiente, brindando seguridad a los participantes de la autenticidad de la transacción.

MPIMerchant Plug-In



El ACS del emisor solicita la Autenticación al tarjetahabiente. En caso que el tarjetahabiente no esté enrolado, el ACS puede iniciar un proceso de Enrolamiento, ADC: Activación Durante la Compra.

El ACS del emisor solicita la Autenticación al tarjetahabiente. En caso que el tarjetahabiente no esté enrolado, el ACS puede iniciar un proceso de Enrolamiento, ADC: Activación Durante la Compra.



Flujo de trabajo

Una vez culminado el proceso el V-POS retoma el control y redirige el flujo hacia el STP que es el módulo de la pasarela de pagos responsable de validar las transacciones en base a las reglas de negocio configuradas para el Adquirente y/o Comercio, así como de armar los mensajes financieros.

Una vez culminado el proceso el V-POS retoma el control y redirige el flujo hacia el STP que es el módulo de la pasarela de pagos responsable de validar las transacciones en base a las reglas de negocio configuradas para el Adquirente y/o Comercio, así como de armar los mensajes financieros.

STPServicio Transaccional de Pagos



El siguiente paso en el flujo transaccional es controlado por el SMT, módulo encargado de intercambiar los mensajes financieros con la Procesadora designada por el Adquirente y que se encuentra definida mediante un proceso administrativo preliminar.

El siguiente paso en el flujo transaccional es controlado por el SMT, módulo encargado de intercambiar los mensajes financieros con la Procesadora designada por el Adquirente y que se encuentra definida mediante un proceso administrativo preliminar.

SwitchServicio Manejador de Transacciones



El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, etc.) según los esquemas convenidos con cada una (VAP, MIP, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea.

El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, etc.) según los esquemas convenidos con cada una (VAP, MIP, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea.

PTAProcesadora Transaccional



El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, Amex, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea al V-POS. El comercio informa al Tarjetahabiente.

El PTA es la procesadora de tarjetas que se encarga de armar el archivo de autorización, que a su vez es enviado a la Marca participante (Visa, Mastercard, Amex, etc.) devolviendo de inmediato la respuesta de autorización o denegación en línea al V-POS. El comercio informa al Tarjetahabiente.

PTAProcesadora Transaccional ALIGNET



El módulo de consultas SAC permite realizar búsquedas de operaciones de autenticación tanto por los códigos del comercio como por el número de pedido o el número de la tarjeta (ó el Bin del emisor) con que fue realizada la operación, llegando al nivel más bajo de detalle.

El módulo de consultas SAC permite realizar búsquedas de operaciones de autenticación tanto por los códigos del comercio como por el número de pedido o el número de la tarjeta (ó el Bin del emisor) con que fue realizada la operación, llegando al nivel más bajo de detalle.

SACSistema Administrador de Autenticaciones



El V- Admin, o Virtual Admin, permite definir las políticas administrativas y gestionar la plataforma AMS mediante la definición de bines, usuarios, comercios y malls; planes y cuotas; filtrar y buscar transacciones; definir y gestionar lotes; entre otros.

El V- Admin, o Virtual Admin, permite definir las políticas administrativas y gestionar la plataforma AMS mediante la definición de bines, usuarios, comercios y malls; planes y cuotas; filtrar y buscar transacciones; definir y gestionar lotes; entre otros.

MóduloAdministrador de Trx.



A su vez, el GAT está encargado de armar/recolectar lotes liquidados según el horario configurado para cada Comercio y así generar su archivo de liquidación (TC57), el cuál posteriormente será recogido y procesado por el Adquirente.

A su vez, el GAT está encargado de armar/recolectar lotes liquidados según el horario configurado para cada Comercio y así generar su archivo de liquidación (TC57), el cuál posteriormente será recogido y procesado por el Adquirente.

GATGenerador de Archivos de Pago



HSM es un dispositivo criptográfico de última generación que funciona como soporte automático de seguridad encriptando la información en los ámbitos interno y externo de la plataforma (ni aún los operadores y administradores tienen acceso a la información).

HSM es un dispositivo criptográfico de última generación que funciona como soporte automático de seguridad encriptando la información en los ámbitos interno y externo de la plataforma (ni aún los operadores y administradores tienen acceso a la información).

HSMHardware Security Module



Plataforma de Pagos en línea / Módulo Administrativo


Seguridad y Riesgo


Aspectos de Seguridad

Los aspectos de seguridad a considerarse para participar en comercio electrónico son los siguientes:

Confidencialidad, evitar la exposición innecesaria de la información sensible.

Autenticación, validar la autenticidad de los participantes

Integridad, garantizar la inalterabilidad de la información.

No repudio, asegurar la aceptación de responsabilidades de los integrantes del proceso.


Aspectos de Seguridad

Confidencialidad / Autenticación / Integridad / No Repudio / Seguridad

Comercio Banco

Llave simétrica Llave simétricaPAN

Código detransacción

Número de Intento

Carácter de Relleno

3DES

Firma RSA

Llave privada para firmar como el

comercio

Llave pública para validar la firma del comercio

3DES

Firma RSA

Firma Verificada

PAN

Código detransacción

Número de Intento

Carácter de Relleno

DatosCifrados

Firma digital datos


• Phishing.- Intento de adquirir información sensible, como passwords y detalles de tarjetas de credito fingiendo ser una persona o empresa confiable mediante una comunicación electrónica (canales web e e-mail)

• Ataques.-Transmisión de data válida maliciosamebte repetida.• Pharming.- Redirección automática de un website a otro website

(maligno) modificando la configuración de la pc atacada con archivos (malwares) o atacando la infraestructura del DNS.

• Spyware.- Software malicioso que recolecta información personal del usuario sin su consentimiento (troyanos, gusanos, virus, keyloggers, etc)

• Rootkit.- Software que intenta correr procesos, archivos o data del sistema operativo usado por spywares para evitar su detección.

• Man-in-the-middle (MITM).- Ataque en donde el atacante puede leer, insertar y modificar a voluntad mensajes entre dos partes sin que ninguna lo sepa.

Amenazas Online

Riesgos por Fraude Electrónico


Prevención del Riesgo


• 31 de Enero del 2002 visa, mediante una Carta a los Miembros hace de conocimiento que se hará el Cambio de responsabilidad desde abril 2003.

• Lanzamiento del Programa de Pagos Autenticados Visa,

• Introducción de una nueva tecnología de autenticación para transacciones de comercio electrónico denominada 3-D Secure, y el Traslado de Derechos de Contracargo (“Chargeback Rights Shift”)

Programas Internacionales 3D Secure

Verified by Visa

• Mastercard adoptó el programa en Octubre 2002

• A partir de junio 2005 rige reglamento de contacargos intra-regional

• Desde Nov 2006 rige el cambio Global de responsabilidad.

• Utiliza los mismos principios de Visa

MasterCard SecureCode

Riesgos por Fraude Electrónico / Reglamentos Operativos


(1) El TH decide pagar con tarjeta

Autenticación de compraSeguridad y Riesgo


(2) Autenticación: El TH sólo ingresa su clave de 3-D Secure

Verifika ACS - Autenticación de compraLa Solución para emisores


Verifika ACS - Autenticación de compra

(3) Confirmación: La transacción fue autenticada y autorizada

La Solución para emisores


Riesgo por Fraude Electrónico / Medidas y Herramientas


Monitoreo de Fraudes


Monitores de Fruades

Herramientas de Monitoreo de Fraudes

Minimiza el fraude de tarjetas de crédito contra los comercios

• Los comercios en Internet son responsables de prevenir el fraude en su sitio

• Las verificaciones tradicionales AVS son inefectivas. 3D es un nivel inicial

• De manera efectiva valida identidad

– 150+ verificaciones correlacionadas

– Control de fraude a <1%

• Uso de inteligencia artificial y agrega transacciones de cientos de comercios y millones de transacciones

• Asociado y mejorado por Visa

– Ciclo cerrado de retroalimentación de Visa y validación del modelo

– Visión expandida de ambas, transacciones físicas y transacciones con tarjeta no presente

– Modelos de comercios



Herramientas de prevención de Fraudes

Decision Manager

AFS

Velocidad

Listas

Orden

Suite de ReportesSuite de Reportes

• Puntuación• Códigos

• Comercio• Global

• Negativo• Positivo

Reglasde

Negocio

Librería

A Medida

Ac

tiv

o

Pa

siv

o

Revisión

Aceptar

Rechazar

Gestiónde

CasosDecisión



Recomendaciones Básicas

• Familarícese con el comportamiento de sus clientes• Modifique la configuración por default basado en el conocimiento del

perfil de su clientela • No asuma el comportamiento de sus clientes• Determine un nivel aceptable de riesgo para cada producto que Ud.

estará ofreciendo • Después de determinar un valor aceptable de riesgo para cada

producto, de acuerdo con sus prácticas de negocios, Ud. Podrá desear ajustar su score_threshold

• Calcule sus costos de fraude• Monitoree su data y ajústela convenientemente


Herramientas de Autenticación

Comercio Electrónico Seguro

One Time Password



Token de autenticación o token criptográfico

• Dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.

• Los tokens electrónicos tienen un tamaño pequeño y son normalmente diseñados para atarlos a un llavero.

• Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN.

• Existen más de una clase de token de autenticación, tenemos los bien conocidos generadores de contraseñas dinámicas "OTP" y la que comúnmente denominamos tokens USB, los cuales no solo permiten almacenar passwords y certificados, sino que permiten llevar la identidad digital de la persona.

Tokens



Token de autenticación movil.

• Solución de Seguridad Robusta y Accesible con amplia distribución. • Concebido para sustituir los actuales dispositivos de hardware y tarjetas

existentes en el mercado.• Ofrece la misma facilidad y el mismo nivel de seguridad• Para ser ejecutado en los celulares y PDAs remotos de los usuarios finales

de las instituciones, con bajo costo y gran facilidad de distribución.• Puede ser utilizado como mecanismo adicional de seguridad en aplicaciones

de Banking (Internet Banking, retiros en ATMs, etc.) así como en aplicaciones genéricas de comercio electrónico que requieren señas de una única utilización - One Time Passwords.

• Disponibles para las tecnologías BREW (CDMA), J2ME (GSM/CMDA), WindowsMobile (GSM/CDMA), JavaCard y SIM Browsing, el ES Mobile Token es ideal para su distribución entre los usuarios finales - over the air (OTA) o a través del SIM Cards - utilizando cualesquiera de las Operadoras de Telefonía Móvil del país y aumentando significativamente la seguridad de sus aplicativos remotos.

• Técnicas en Criptografía de última generación.

Mobile Token o Token Celular



Beneficios



• Autenticación.- Proceso de validación de la identidad de un usuario final para asegurar que es quien dice ser. El método mas común es usando un nombre y un password, pero...

Conceptos de Seguridad Digital

.....aun por tan fuerte que sea el password, este puede ser robado y ser usado sin aviso al legítimo propietario.



Password Biomertrico

• Utiliza el patrón de conducta de tipeo sobre el teclado para identificar al usuario.

• Cada persona posee su propia y única cadencia de tipeo sobre las teclas teclado.

• Posee un 99,7 por ciento de efectividad.

• La biometría es una solución de fácil aplicación, menor costo y alta seguridad.

• Opera a partir de la captura y comparación de un patrón de conducta del usuario sobre el teclado, garantizando su funcionamiento simultáneo y complementario a otros desarrollos destinados a la seguridad informática y sin modificar los hábitos del usuario.

• No conlleva la instalación de hardware adicional sobre los existentes, de modo que su implementación no implica costos adicionales.

Seguridad Biométrica



Seguridad Biométrica



Muchas Gracias

Octubre 2007 Plataformas de Seguridad y Medios de Pago.

Documents

Transcript of Octubre 2007 Plataformas de Seguridad y Medios de Pago.