Bdo tecnica operatoria de los medios de pago digitales

SEGURIDAD DE LOS PAGOS EN LINEA Cómo fortalecer la seguridad
| API Aseguramiento de Procesos Informáticos
API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Cómo fortalecer la seguridad
SEGURIDAD DE
LOS PAGOS EN
LINEA

| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
 Agenda
 Sistema de pago electrónico
 Principios del sistema de pago electrónico
 Antecedentes
 Principales amenazas
 Claves para la seguridad en medios de pago
 Lo que está llegando
 Conclusión

 Sistema de pago electrónico
 Facilita la aceptación de pagos
 Pieza fundamental en el proceso de
compra-venta dentro del comercio
electrónico
 El 35% de las personas ahora usan su
teléfono inteligente para entrar a sus
cuentas bancarias y el 29% para usar
sistemas de pagos en línea..
Pasarelas de pago,
para pago con
tarjeta de crédito Sistemas de
monedero
electrónico, o tarjeta
monedero
Sistemas que se conectan
directamente con la banca
electrónica del usuario
No tiene los gastos y limitaciones de una tienda clásica:
Personal, local, horario, infraestructura, etc.

 Principios del sistema de pago electrónico
El comercio electrónico
necesita garantizar una
seguridad técnica y
jurídica
 Garantizar seguridad
 Garantizar privacidad
Integridad
Lo transmitido a través de la red
no haya sido modificado
Autenticidad
La persona o empresa que dice
estar al otro lado de la red es
quién dice ser
Intimidad
Los datos transmitidos no hayan
sido vistos durante el trasiego
telemático
No repudio
Lo transmitido no pueda
ser repudiado o rechazado Adaptación por parte de
las empresas y los
usuarios.

 Antecedentes
https://elpais.com/economia/2009/11/18/actualidad/1258533184_850215.html
http://www.elmundo.es/elmundo/2011/04/27/navegante/1303859686.html
http://www.expansion.com/agencia/efe/2012/04/02/17122458.html
https://support.binance.com/hc/es/articles/360006675312-Resumen-del-Incidente-de-Trading-Irregular-SYS
https://mundocripto.news/binance-reanuda-sus-servicios-tras-suspenderlos-por-riesgo-de-comercializacion-irregular/
El 83% de las marcas
sufrirá algún tipo de
crisis online en los
próximos 5 años
Binance se ha
convertido
rápidamente en la
BOLSA NÚMERO 1 del
mundo, con un
volumen de
transacciones diarias
de más de 6 mil
millones de dólares. Es
increíble pensar que,
como plataforma, fue
lanzada hace menos
de un año.
El 2018/07/03 20:18:00 (UTC), intercambios
irregulares fueron detectados por cierto
número de usuarios API, activando nuestro
sistema interno de gestión de riesgos. Como
tal, Binance tomó una decisión oportuna
para suspender operaciones, retiros y otras
funciones de cuenta.

Ingeniería
Social
Piratería
Fraude
 Principales amenazas
 Abuso de los privilegios, errores y omisiones en el
uso de los sistemas de información, que pueden
derivar en incidentes de seguridad
 Ataques por vulnerabilidades en
plataformas/aplicaciones, Amenazas de
malware generadas por atacantes externos
 Robo de información por atacantes
internos, Ingeniería social, fraude
financiero

67%
Quiebre de
autenticación en
aplicaciones
78%
Quiebre de los
controles de
acceso
81% Fuga de
información
Adivinar contraseñas débiles o
eludir por completo el proceso
de inicio de sesión
Atacar la app para acceder a datos de
autenticación, ejecutando acciones no
autorizadas en nombre de otros usuarios
91% Cross-site
scripting
Una aplicación divulga
información que puede
servir para atacarla
Acceso a datos y
funcionalidades, visualización de
datos sensibles hospedados en
el servidor

• Información enviada dentro de las API (Acceder a URL, parámetros de instrucciones SQL, encabezados
HTTP, etc)
• Identidad (Explotar fallas en la autenticación y autorización, seguimiento a las sesiones)
• Ataques de man-in-the-middle (interceptar transacciones legítimas y explotar información sin firmar o
sin cifrar. Revelar información confidencial, alterar información de transacciones o reproducir
transacciones legítimas)
Escalamiento de
privilegios, DoS,
malware, robo de
información,
suplantación de
identidad
Conjunto de reglas y
especificaciones que las
aplicaciones pueden seguir
para comunicarse entre ellas

 Claves para la seguridad en medios de pago
Proveedores de software e
integradores de aplicaciones
de pago que almacenan,
procesan o transmiten datos
de titulares de tarjetas
PA-DSS
Aplicaciones son vendidas,
distribuidas o autorizadas
bajo licencia a terceros.
Entidad que acepta o procesa
tarjetas de pago, debe cumplir con
PCI DSS
Entidades que almacenan,
procesan o transmiten información
del titular de una tarjeta. Cubre
componentes operativos y técnicos
del sistema que estén conectados
con datos del titular de tarjeta
PCI-DSS

Pasarela de Pago
TPV Virtual
Facilita la autorización de pago mediante el envío de
transacciones a los procesadores/adquirentes que
llevan a cabo la autorización del pago
Deben validar y cumplir los requerimientos
de PCI aplicables y proporcionar pruebas
suficiente a los clientes sobre su
cumplimiento
Política y procedimientos de
seguridad
Seguridad de la red
Protección de malware
Seguridad de la aplicación (y web)
Escaneo y remediación de
vulnerabilidades
Registro y monitoreo
Conciencia de seguridad
Eliminar los datos confidenciales de autenticación y
limitar la retención de los datos.
Proteja los sistemas y las redes, y esté preparado para
responder a una falla en el sistema.
Aplicaciones seguras de tarjetas de pago
Supervisar y controlar el acceso a sus sistemas
Proteja los datos del titular de la tarjeta que fueron
almacenados
Finalice los esfuerzos de cumplimiento restantes, y
asegúrese de que todos los controles están
implementados.

Protocolos
SSL
Secure Socket Layer
 Autenticación: asegura la identidad del servidor participante
en la comunicación (HTTPS)
 Confidencialidad: asegura que la información transmitida en
la comunicación entre el cliente y el servidor sólo sea legible
por estas dos entidades.
 Integridad: asegura que la información transmitida en la
comunicación entre el cliente y el servidor no haya sido
alterada en su viaje por la red.
SET
Secure Electronic Transactions
 Autenticación: cliente, comerciante y bancos, (emisor y
adquiriente) pueden verificar mutuamente sus identidades
mediante certificados digitales.
 Confidencialidad: la información de pago se cifra para que no
pueda ser espiada mientras viaja por las redes de
comunicaciones. (solo número de tarjeta de crédito, el
comerciante no lo ve para prevenir fraudes. Resto de datos de
la comprapor SSL)
 Integridad: Garantiza que la información no podrá ser
alterada de manera accidental o maliciosa durante su
transporte
 Intimidad: El banco emisor de la tarjeta de crédito no puede
acceder a información sobre los pedidos del titular
 No repudio: Adiciona un estándar de certificados digitales
(X.509v3), que asocian la identidad del titular y del
comerciante con entidades financieras y los sistemas de pago
Seguridad en las comunicaciones Pago seguro con tarjeta de crédito

Brinda la seguridad a los clientes contra el
fraude, ya que sus datos están encriptados y
solo pueden ser usados con la pasarela de Pago
Tokenización de datos
Reemplazo de los datos de pago por una cadena de números/letras arbitraria

Diseñar, planificar y
documentar acciones
relacionadas con la
seguridad de la información
para las siguientes etapas
del desarrollo:
Análisis
Diseño
Prueba
Implementación
Determinar lineamientos de
seguridad de la aplicación en
los siguientes niveles:
Seguridad de Sistema
operativo y del motor de
base de datos donde se debe
ejecutar la aplicación.
Seguridad de la aplicación.
Seguridad en el
almacenamiento de la
información crítica.
Seguridad en el proceso de
comunicación.
Análisis de vulnerabilidades
de la aplicación.
Utilizar un estándar de
programación segura,
basado en la Norma que
regule el desarrollo de
software, las
especificaciones y
consideraciones de
seguridad, incluyendo la
normativa OWASP
Establecer prácticas de desarrollo seguro

Encripción y transmisión
Capacidad de encriptar datos
sensitivos tanto para su
almacenamiento como para su
transmisión, previendo inclusive
el cifrado de la comunicación
Arquitectura de la Aplicación
Brindar documentación
referente a la arquitectura de la
aplicación bajo análisis,
incluyendo: módulos u objetos
que conforman la aplicación, su
interrelación con el sistema
operativo y la base de datos y
esquemas de conexión y
transmisión
Registro de eventos
Ingresos exitosos y fallidos,
bloqueo de usuarios, ABM de
usuarios y perfiles o roles,
cambios en la configuración
de seguridad, etc.
Necesidad de un Estándar de
Programación Segura
Procedimientos de desarrollo
seguro del software (ya sea se
traten de aplicaciones Web o
binarias) alineados con las
Buenas Prácticas de la Industria,
como por ejemplo el Top Ten de
OWASP
Mecanismo de autenticación y
administración de usuarios
La aplicación, en la medida de lo
posible, debe soportar
autenticación integrada para los
usuarios finales y
administradores en forma nativa
(LDAP, MS Active Directory), y
soportar la implementación de
encripción para el tráfico de la
autenticación.
Debe permitir realizar altas,
bajas y modificaciones de los
usuarios, la creación de roles o
perfiles y documentarlos, al
igual que los perfiles por
defecto y los usuarios sensitivos
Administración de
Contraseñas
Longitud, duración, password
history, bloqueo, cambio de
contraseña al primer ingreso

E
s

E
s
El comercio electrónico
necesita garantizar una
seguridad técnica y
jurídica
 Garantizar seguridad
 Garantizar privacidad
Adaptación por parte de
las empresas y los
usuarios
Autenticación
Autorización
Parametrización
Aplicaciones
Accesos
Datos

 Lo que está llegando
IoP
Internet de los Pagos
E
s
Autenticación
Autorización
Parametrización
Datos de la operación
Accesos
Datos del usuario
Principal tendencia
Máquina a Máquina (M2M)
$ 27 mil millones
para 2023
Usuario no participa en el
proceso, solo es informado
Los dispositivos
de IoT son
notoriamente
inseguros

 Lo que está llegando
Realización de
transferencias y
movimientos de
fondos
Seguridad y privacidad
Registro de los movimientos que
sea accesible y confiable
Blockchain
Base de datos distribuida
El uso de una cadena de bloques en la práctica ha permitido resolver dos problemas relacionados con el
intercambio de activos sin una entidad certificadora de confianza:
 Evitar el problema del doble gasto, evita la falsificación y que una misma moneda pueda ser gastada dos
veces.
 Conseguir la descentralización de los pagos electrónicos, se garantiza la realización segura de pagos y cobros
directos entre particulares por vía electrónica

 Conclusión
Lo primordial es conocer la tecnología
que utilizamos, y entender los datos
que gestionamos

 Perfil del expositor
Fabián Descalzo
ITILv3:2011, ISO27001LA, ISO20000LA, COBIT 5
Gerente de Aseguramiento de Procesos Informáticos de la practica Risk Advisory Services | IT Assurance, Audit
and Compliance en BDO Argentina. Posee 28 años de experiencia en el área de gestión e implementación de
Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y
Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio.
Docente del módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y
Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT
de la Diplomatura en Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente en
Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland.
Miembro del Comité Directivo de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security
for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del
IEEE (Institute of Electrical and Electronics Engineers)
CERTIFICACIONES:
• COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)
• Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)
• ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)
• Dirección de seguridad de la información (Universidad CAECE)
• ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)
• ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)
• Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)
• Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Maipú 942, PB. C1006ACN
Rondeau 2664, PB - C1262ABH
Buenos Aires, ARGENTINA
www.bdoargentina.com
Auditoría y
Control IT
Ciberseguridad e
Infraestructura TI
Governance, Risk
& Compliance
Seguridad de
la Información
Pablo Silberfich – Socio API (pilberfich@bdoargentina.com)
Fabián Descalzo - Gerente API (fdescalzo@bdoargentina.com)

Bdo tecnica operatoria de los medios de pago digitales

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (11)

Similar a Bdo tecnica operatoria de los medios de pago digitales

Similar a Bdo tecnica operatoria de los medios de pago digitales (20)

Más de Fabián Descalzo

Más de Fabián Descalzo (20)

Último

Último (15)

Bdo tecnica operatoria de los medios de pago digitales