El documento discute las claves para fortalecer la seguridad de los pagos en línea. Explica los principales sistemas de pago electrónico y amenazas como el fraude. También cubre estándares como PCI-DSS y recomendaciones como el uso de protocolos de encriptación, establecer prácticas de desarrollo seguro, y administrar correctamente los usuarios y contraseñas. Por último, anticipa que el Internet de los Pagos será una importante tendencia en el futuro.
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
Bdo tecnica operatoria de los medios de pago digitales
1. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos
API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Cómo fortalecer la seguridad
SEGURIDAD DE
LOS PAGOS EN
LINEA
2. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Agenda
Sistema de pago electrónico
Principios del sistema de pago electrónico
Antecedentes
Principales amenazas
Claves para la seguridad en medios de pago
Lo que está llegando
Conclusión
3. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Sistema de pago electrónico
Facilita la aceptación de pagos
Pieza fundamental en el proceso de
compra-venta dentro del comercio
electrónico
El 35% de las personas ahora usan su
teléfono inteligente para entrar a sus
cuentas bancarias y el 29% para usar
sistemas de pagos en línea..
Pasarelas de pago,
para pago con
tarjeta de crédito Sistemas de
monedero
electrónico, o tarjeta
monedero
Sistemas que se conectan
directamente con la banca
electrónica del usuario
No tiene los gastos y limitaciones de una tienda clásica:
Personal, local, horario, infraestructura, etc.
4. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Principios del sistema de pago electrónico
El comercio electrónico
necesita garantizar una
seguridad técnica y
jurídica
Garantizar seguridad
Garantizar privacidad
Integridad
Lo transmitido a través de la red
no haya sido modificado
Autenticidad
La persona o empresa que dice
estar al otro lado de la red es
quién dice ser
Intimidad
Los datos transmitidos no hayan
sido vistos durante el trasiego
telemático
No repudio
Lo transmitido no pueda
ser repudiado o rechazado Adaptación por parte de
las empresas y los
usuarios.
5. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Antecedentes
https://elpais.com/economia/2009/11/18/actualidad/1258533184_850215.html
http://www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html
http://www.expansion.com/agencia/efe/2012/04/02/17122458.html
https://support.binance.com/hc/es/articles/360006675312-Resumen-del-Incidente-de-Trading-Irregular-SYS
https://mundocripto.news/binance-reanuda-sus-servicios-tras-suspenderlos-por-riesgo-de-comercializacion-irregular/
El 83% de las marcas
sufrirá algún tipo de
crisis online en los
próximos 5 años
Binance se ha
convertido
rápidamente en la
BOLSA NÚMERO 1 del
mundo, con un
volumen de
transacciones diarias
de más de 6 mil
millones de dólares. Es
increíble pensar que,
como plataforma, fue
lanzada hace menos
de un año.
El 2018/07/03 20:18:00 (UTC), intercambios
irregulares fueron detectados por cierto
número de usuarios API, activando nuestro
sistema interno de gestión de riesgos. Como
tal, Binance tomó una decisión oportuna
para suspender operaciones, retiros y otras
funciones de cuenta.
6. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos
Ingeniería
Social
Piratería
Fraude
| API Aseguramiento de Procesos Informáticos
Principales amenazas
Abuso de los privilegios, errores y omisiones en el
uso de los sistemas de información, que pueden
derivar en incidentes de seguridad
Ataques por vulnerabilidades en
plataformas/aplicaciones, Amenazas de
malware generadas por atacantes externos
Robo de información por atacantes
internos, Ingeniería social, fraude
financiero
7. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Principales amenazas
67%
Quiebre de
autenticación en
aplicaciones
78%
Quiebre de los
controles de
acceso
81% Fuga de
información
Adivinar contraseñas débiles o
eludir por completo el proceso
de inicio de sesión
Atacar la app para acceder a datos de
autenticación, ejecutando acciones no
autorizadas en nombre de otros usuarios
91% Cross-site
scripting
Una aplicación divulga
información que puede
servir para atacarla
Acceso a datos y
funcionalidades, visualización de
datos sensibles hospedados en
el servidor
8. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Principales amenazas
• Información enviada dentro de las API (Acceder a URL, parámetros de instrucciones SQL, encabezados
HTTP, etc)
• Identidad (Explotar fallas en la autenticación y autorización, seguimiento a las sesiones)
• Ataques de man-in-the-middle (interceptar transacciones legítimas y explotar información sin firmar o
sin cifrar. Revelar información confidencial, alterar información de transacciones o reproducir
transacciones legítimas)
Escalamiento de
privilegios, DoS,
malware, robo de
información,
suplantación de
identidad
Conjunto de reglas y
especificaciones que las
aplicaciones pueden seguir
para comunicarse entre ellas
9. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Claves para la seguridad en medios de pago
Proveedores de software e
integradores de aplicaciones
de pago que almacenan,
procesan o transmiten datos
de titulares de tarjetas
PA-DSS
Aplicaciones son vendidas,
distribuidas o autorizadas
bajo licencia a terceros.
Entidad que acepta o procesa
tarjetas de pago, debe cumplir con
PCI DSS
Entidades que almacenan,
procesan o transmiten información
del titular de una tarjeta. Cubre
componentes operativos y técnicos
del sistema que estén conectados
con datos del titular de tarjeta
PCI-DSS
10. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Claves para la seguridad en medios de pago
Pasarela de Pago
TPV Virtual
Facilita la autorización de pago mediante el envío de
transacciones a los procesadores/adquirentes que
llevan a cabo la autorización del pago
Deben validar y cumplir los requerimientos
de PCI aplicables y proporcionar pruebas
suficiente a los clientes sobre su
cumplimiento
Política y procedimientos de
seguridad
Seguridad de la red
Protección de malware
Seguridad de la aplicación (y web)
Escaneo y remediación de
vulnerabilidades
Registro y monitoreo
Conciencia de seguridad
Eliminar los datos confidenciales de autenticación y
limitar la retención de los datos.
Proteja los sistemas y las redes, y esté preparado para
responder a una falla en el sistema.
Aplicaciones seguras de tarjetas de pago
Supervisar y controlar el acceso a sus sistemas
Proteja los datos del titular de la tarjeta que fueron
almacenados
Finalice los esfuerzos de cumplimiento restantes, y
asegúrese de que todos los controles están
implementados.
11. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Claves para la seguridad en medios de pago
Protocolos
SSL
Secure Socket Layer
Autenticación: asegura la identidad del servidor participante
en la comunicación (HTTPS)
Confidencialidad: asegura que la información transmitida en
la comunicación entre el cliente y el servidor sólo sea legible
por estas dos entidades.
Integridad: asegura que la información transmitida en la
comunicación entre el cliente y el servidor no haya sido
alterada en su viaje por la red.
SET
Secure Electronic Transactions
Autenticación: cliente, comerciante y bancos, (emisor y
adquiriente) pueden verificar mutuamente sus identidades
mediante certificados digitales.
Confidencialidad: la información de pago se cifra para que no
pueda ser espiada mientras viaja por las redes de
comunicaciones. (solo número de tarjeta de crédito, el
comerciante no lo ve para prevenir fraudes. Resto de datos de
la comprapor SSL)
Integridad: Garantiza que la información no podrá ser
alterada de manera accidental o maliciosa durante su
transporte
Intimidad: El banco emisor de la tarjeta de crédito no puede
acceder a información sobre los pedidos del titular
No repudio: Adiciona un estándar de certificados digitales
(X.509v3), que asocian la identidad del titular y del
comerciante con entidades financieras y los sistemas de pago
Seguridad en las comunicaciones Pago seguro con tarjeta de crédito
12. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Brinda la seguridad a los clientes contra el
fraude, ya que sus datos están encriptados y
solo pueden ser usados con la pasarela de Pago
Tokenización de datos
Reemplazo de los datos de pago por una cadena de números/letras arbitraria
Claves para la seguridad en medios de pago
13. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Claves para la seguridad en medios de pago
Diseñar, planificar y
documentar acciones
relacionadas con la
seguridad de la información
para las siguientes etapas
del desarrollo:
Análisis
Diseño
Prueba
Implementación
Determinar lineamientos de
seguridad de la aplicación en
los siguientes niveles:
Seguridad de Sistema
operativo y del motor de
base de datos donde se debe
ejecutar la aplicación.
Seguridad de la aplicación.
Seguridad en el
almacenamiento de la
información crítica.
Seguridad en el proceso de
comunicación.
Análisis de vulnerabilidades
de la aplicación.
Utilizar un estándar de
programación segura,
basado en la Norma que
regule el desarrollo de
software, las
especificaciones y
consideraciones de
seguridad, incluyendo la
normativa OWASP
Establecer prácticas de desarrollo seguro
14. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Claves para la seguridad en medios de pago
Encripción y transmisión
Capacidad de encriptar datos
sensitivos tanto para su
almacenamiento como para su
transmisión, previendo inclusive
el cifrado de la comunicación
Arquitectura de la Aplicación
Brindar documentación
referente a la arquitectura de la
aplicación bajo análisis,
incluyendo: módulos u objetos
que conforman la aplicación, su
interrelación con el sistema
operativo y la base de datos y
esquemas de conexión y
transmisión
Registro de eventos
Ingresos exitosos y fallidos,
bloqueo de usuarios, ABM de
usuarios y perfiles o roles,
cambios en la configuración
de seguridad, etc.
Necesidad de un Estándar de
Programación Segura
Procedimientos de desarrollo
seguro del software (ya sea se
traten de aplicaciones Web o
binarias) alineados con las
Buenas Prácticas de la Industria,
como por ejemplo el Top Ten de
OWASP
Mecanismo de autenticación y
administración de usuarios
La aplicación, en la medida de lo
posible, debe soportar
autenticación integrada para los
usuarios finales y
administradores en forma nativa
(LDAP, MS Active Directory), y
soportar la implementación de
encripción para el tráfico de la
autenticación.
Debe permitir realizar altas,
bajas y modificaciones de los
usuarios, la creación de roles o
perfiles y documentarlos, al
igual que los perfiles por
defecto y los usuarios sensitivos
Administración de
Contraseñas
Longitud, duración, password
history, bloqueo, cambio de
contraseña al primer ingreso
15. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Claves para la seguridad en medios de pago
E
s
16. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Claves para la seguridad en medios de pago
E
s
El comercio electrónico
necesita garantizar una
seguridad técnica y
jurídica
Garantizar seguridad
Garantizar privacidad
Adaptación por parte de
las empresas y los
usuarios
Autenticación
Autorización
Parametrización
Aplicaciones
Accesos
Datos
17. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Lo que está llegando
IoP
Internet de los Pagos
E
s
Autenticación
Autorización
Parametrización
Datos de la operación
Accesos
Datos del usuario
Principal tendencia
Máquina a Máquina (M2M)
$ 27 mil millones
para 2023
Usuario no participa en el
proceso, solo es informado
Los dispositivos
de IoT son
notoriamente
inseguros
18. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Lo que está llegando
Realización de
transferencias y
movimientos de
fondos
Seguridad y privacidad
Registro de los movimientos que
sea accesible y confiable
Blockchain
Base de datos distribuida
El uso de una cadena de bloques en la práctica ha permitido resolver dos problemas relacionados con el
intercambio de activos sin una entidad certificadora de confianza:
Evitar el problema del doble gasto, evita la falsificación y que una misma moneda pueda ser gastada dos
veces.
Conseguir la descentralización de los pagos electrónicos, se garantiza la realización segura de pagos y cobros
directos entre particulares por vía electrónica
19. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Conclusión
Lo primordial es conocer la tecnología
que utilizamos, y entender los datos
que gestionamos
20. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Perfil del expositor
Fabián Descalzo
ITILv3:2011, ISO27001LA, ISO20000LA, COBIT 5
Gerente de Aseguramiento de Procesos Informáticos de la practica Risk Advisory Services | IT Assurance, Audit
and Compliance en BDO Argentina. Posee 28 años de experiencia en el área de gestión e implementación de
Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y
Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio.
Docente del módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y
Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT
de la Diplomatura en Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente en
Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland.
Miembro del Comité Directivo de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security
for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del
IEEE (Institute of Electrical and Electronics Engineers)
CERTIFICACIONES:
• COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)
• Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)
• ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)
• Dirección de seguridad de la información (Universidad CAECE)
• ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)
• ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)
• Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)
• Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)
21. SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos
API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Maipú 942, PB. C1006ACN
Rondeau 2664, PB - C1262ABH
Buenos Aires, ARGENTINA
www.bdoargentina.com
Auditoría y
Control IT
Ciberseguridad e
Infraestructura TI
Governance, Risk
& Compliance
Seguridad de
la Información
Pablo Silberfich – Socio API (pilberfich@bdoargentina.com)
Fabián Descalzo - Gerente API (fdescalzo@bdoargentina.com)