Diapositiva 1

1
Plataformas de Seguridad y Medios de Pago
Octubre 2007
2
Situación del Comercio Electrónico
3
Situación del Comercio Electrónico en
Latinoamérica
Usos Habituales de Internet
4
Situación del Comercio Electrónico en
Latinoamérica
Formas de Pago más Utilizadas

• Pagos por Internet en LAC
• El 83 prefiere la tarjeta de crédito
• El 9 prefiere la transferencia bancaria
• El 6 paga en efectivo.

5
Situación del Comercio Electrónico en
Latinoamérica
Concentración del Comercio

• La forma de pago preferida en la Red en la región
  es con tarjeta de crédito.
• Viajes y Retail son los sectores más activos.

• Fuente América Economía 2006

6
Situación del Comercio Electrónico en
Latinoamérica
Tendencias de Crecimiento

• 2005, Volumen de E-Commerce US 2.100 millones
• Creció un 67, versus el año anterior.
• 2006, Se creció cerca de 50 para superar el los
  USD 3.000 millones.
• Las proyecciones indican que el volumen superará
  los USD 11.000 millones en el 2010.

7
Plataforma de Pagos en línea
Sistemas de Pago Electrónico
Pasarela de Pagos
8
Plataforma de Pagos en línea
9
Plataforma de Pagos en línea
Plug- In
El Plug-in integra de manera segura la página Web
de compra del comercio con la plataforma AMS
utilizando Triple-DES y RSA para proteger la
información que viajará por la conexión Web. El
Plug-in está disponible en varios lenguajes de
programación Web (Vg. Java, .Net, ASP, PHP,
Pearl (2006-2S).
Cuando un tarjeta habiente, en cualquier lugar
del mundo, presiona el botón Comprar en la
página Web del comercio invoca al Plug-In que a
su vez encripta la información del tarjeta
habiente y de las compras realizadas.
10
Plataforma de Pagos en línea
POSVirtual
El Plug-in se conecta con el V-POS que es el
módulo de captura de información de pago del
comercio, que recibe y procesa los datos
sensibles del tarjeta habiente y dependiendo del
tipo de tarjeta y los requerimientos del emisor,
comercio y adquirente inicia los flujos de
autenticación y autorización.
11
Plataforma de Pagos en línea
Si la tarjeta está protegida por los programas
Verified by VISA o SecureCode el V-POS inicia el
flujo de autenticación conectándolo con el MPI
integrado a la plataforma esperando la
interacción con el tarjeta habiente.
12
Plataforma de Pagos en línea
MPIMerchant Plug-In
El protocolo 3-D Secure requiere la interacción
de un conjunto de servidores seguros (ACS por el
lado emisor, MPI por el lado adquirente y otros
del dominio de interoperabilidad) cuyo fin es
autenticar al tarjeta habiente, brindando
seguridad a los participantes de la autenticidad
de la transacción.
13
Plataforma de Pagos en línea
El ACS del emisor solicita la Autenticación al
tarjetahabiente. En caso que el tarjetahabiente
no esté enrolado, el ACS puede iniciar un proceso
de Enrolamiento, ADC Activación Durante la
Compra.
14
Plataforma de Pagos en línea
Flujo de trabajo
STPServicio Transaccional de Pagos
Una vez culminado el proceso el V-POS retoma el
control y redirige el flujo hacia el STP que es
el módulo de la pasarela de pagos responsable de
validar las transacciones en base a las reglas de
negocio configuradas para el Adquirente y/o
Comercio, así como de armar los mensajes
financieros.
15
Plataforma de Pagos en línea
SwitchServicio Manejador de Transacciones
El siguiente paso en el flujo transaccional es
controlado por el SMT, módulo encargado de
intercambiar los mensajes financieros con la
Procesadora designada por el Adquirente y que se
encuentra definida mediante un proceso
administrativo preliminar.
16
Plataforma de Pagos en línea
PTAProcesadora Transaccional
El PTA es la procesadora de tarjetas que se
encarga de armar el archivo de autorización, que
a su vez es enviado a la Marca participante
(Visa, Mastercard, etc.) según los esquemas
convenidos con cada una (VAP, MIP, etc.)
devolviendo de inmediato la respuesta de
autorización o denegación en línea.
17
Plataforma de Pagos en línea
PTAProcesadora Transaccional ALIGNET
El PTA es la procesadora de tarjetas que se
encarga de armar el archivo de autorización, que
a su vez es enviado a la Marca participante
(Visa, Mastercard, Amex, etc.) devolviendo de
inmediato la respuesta de autorización o
denegación en línea al V-POS. El comercio informa
al Tarjetahabiente.
18
Plataforma de Pagos en línea
SACSistema Administrador de Autenticaciones
El módulo de consultas SAC permite realizar
búsquedas de operaciones de autenticación tanto
por los códigos del comercio como por el número
de pedido o el número de la tarjeta (ó el Bin del
emisor) con que fue realizada la operación,
llegando al nivel más bajo de detalle.
19
Plataforma de Pagos en línea
MóduloAdministrador de Trx.
El V- Admin, o Virtual Admin, permite definir las
políticas administrativas y gestionar la
plataforma AMS mediante la definición de bines,
usuarios, comercios y malls planes y cuotas
filtrar y buscar transacciones definir y
gestionar lotes entre otros.
20
Plataforma de Pagos en línea
GATGenerador de Archivos de Pago
A su vez, el GAT está encargado de
armar/recolectar lotes liquidados según el
horario configurado para cada Comercio y así
generar su archivo de liquidación (TC57), el cuál
posteriormente será recogido y procesado por el
Adquirente.
21
Plataforma de Pagos en línea
HSMHardware Security Module
HSM es un dispositivo criptográfico de última
generación que funciona como soporte automático
de seguridad encriptando la información en los
ámbitos interno y externo de la plataforma (ni
aún los operadores y administradores tienen
acceso a la información).
22
Plataforma de Pagos en línea / Módulo
Administrativo
23
Plataforma de Pagos en línea / Módulo
Administrativo
24
Plataforma de Pagos en línea / Módulo
Administrativo
25
Plataforma de Pagos en línea / Módulo
Administrativo
26
Seguridad y Riesgo
27
Aspectos de Seguridad
Los aspectos de seguridad a considerarse para
participar en comercio electrónico son los
siguientes
Confidencialidad, evitar la exposición
innecesaria de la información sensible. Autentica
ción, validar la autenticidad de los
participantes Integridad, garantizar la
inalterabilidad de la información. No repudio,
asegurar la aceptación de responsabilidades de
los integrantes del proceso.
28
Aspectos de Seguridad
Confidencialidad / Autenticación / Integridad /
No Repudio / Seguridad
Comercio
Banco
Llave simétrica
Llave simétrica
PAN
PAN
Código detransacción
Código detransacción
Número de Intento
Número de Intento
3DES
3DES
DatosCifrados
Carácter de Relleno
Carácter de Relleno
Firma RSA
Firma RSA
Firma Verificada
Llave privada para firmar como el comercio
Llave pública para validar la firma del comercio
Firma digital datos
29
Riesgos por Fraude Electrónico
Fraude en el Mundo Físico

• Tarjeta Presente.- La banda magnética es leida,
  se ingresa PIN.
• Falsificación / Clonación.- Una tarjeta
  Falsificada (Clonada) es una tarjeta impresa,
  embozada o codificada sin permiso del emisor, o
  una que ha sido válidamente emitida y después
  alterada o recodificada.
• Robo de Identidad.- El robo de ID en tarjetas de
  crédito ocurre cuando el criminal usa información
  personal obtenida fraudulentamente para abrir o
  acceder a cuentas de tarjetas de crédito en
  nombre del usuario original.
• Fraude en las cajas registradoras.- Aunque no se
  le conoce como fraude realmente esta modalidad
  describe la ubicación donde ocurre el fraude.
• Fraude por no recibo de correspondencia.- Este
  tipo de fraude envuelve a las tarjetas que son
  robadas en el transito de envió después de que el
  emisor la envía a los tarjetabientes.

SSL (Secure Socket Layer)
30
Riesgos por Fraude Electrónico
Amenazas Online

• Phishing.- Intento de adquirir información
  sensible, como passwords y detalles de tarjetas
  de credito fingiendo ser una persona o empresa
  confiable mediante una comunicación electrónica
  (canales web e e-mail)
• Ataques.-Transmisión de data válida
  maliciosamebte repetida.
• Pharming.- Redirección automática de un website a
  otro website (maligno) modificando la
  configuración de la pc atacada con archivos
  (malwares) o atacando la infraestructura del DNS.
• Spyware.- Software malicioso que recolecta
  información personal del usuario sin su
  consentimiento (troyanos, gusanos, virus,
  keyloggers, etc)
• Rootkit.- Software que intenta correr procesos,
  archivos o data del sistema operativo usado por
  spywares para evitar su detección.
• Man-in-the-middle (MITM).- Ataque en donde el
  atacante puede leer, insertar y modificar a
  voluntad mensajes entre dos partes sin que
  ninguna lo sepa.

31
Prevención del Riesgo
32
Riesgos por Fraude Electrónico / Reglamentos
Operativos
Programas Internacionales 3D Secure
Verified by Visa
MasterCard SecureCode
33
Seguridad y Riesgo
Autenticación de compra
(1) El TH decide pagar con tarjeta
34
La Solución para emisores
Verifika ACS - Autenticación de compra
(2) Autenticación El TH sólo ingresa su clave de
3-D Secure
35
La Solución para emisores
Verifika ACS - Autenticación de compra
(3) Confirmación La transacción fue autenticada
y autorizada
36
Riesgo por Fraude Electrónico / Medidas y
Herramientas
37
Monitoreo de Fraudes
38
Monitores de Fruades
Herramientas de Monitoreo de Fraudes

• Minimiza el fraude de tarjetas de crédito contra
  los comercios
• Los comercios en Internet son responsables de
  prevenir el fraude en su sitio
• Las verificaciones tradicionales AVS son
  inefectivas. 3D es un nivel inicial
• De manera efectiva valida identidad
• 150 verificaciones correlacionadas
• Control de fraude a lt1
• Uso de inteligencia artificial y agrega
  transacciones de cientos de comercios y millones
  de transacciones
• Asociado y mejorado por Visa
• Ciclo cerrado de retroalimentación de Visa y
  validación del modelo
• Visión expandida de ambas, transacciones físicas
  y transacciones con tarjeta no presente
• Modelos de comercios

39
Monitores de Fruades
Herramientas de prevención de Fraudes
Decision Manager

• Puntuación
• Códigos

Aceptar
AFS
ReglasdeNegocio
Activo Pasivo
Gestiónde Casos
Orden

• Comercio
• Global

Velocidad
Revisión
Decisión
LibreríaA Medida

• Negativo
• Positivo

Listas
Rechazar
Suite de Reportes
40
Monitores de Fruades
Recomendaciones Básicas

• Familarícese con el comportamiento de sus
  clientes
• Modifique la configuración por default basado en
  el conocimiento del perfil de su clientela
• No asuma el comportamiento de sus clientes
• Determine un nivel aceptable de riesgo para cada
  producto que Ud. estará ofreciendo
• Después de determinar un valor aceptable de
  riesgo para cada producto, de acuerdo con sus
  prácticas de negocios, Ud. Podrá desear ajustar
  su score_threshold
• Calcule sus costos de fraude
• Monitoree su data y ajústela convenientemente

41
Herramientas de Autenticación
42
Herramientas de Autenticación
One Time Password
43
Herramientas de Autenticación
Tokens

• Token de autenticación o token criptográfico
• Dispositivo electrónico que se le da a un usuario
  autorizado de un servicio computarizado para
  facilitar el proceso de autenticación.
• Los tokens electrónicos tienen un tamaño pequeño
  y son normalmente diseñados para atarlos a un
  llavero.
• Los tokens electrónicos se usan para almacenar
  claves criptográficas como firmas digitales, o
  datos biométricos como las huellas digitales.
  Algunos diseños se hacen a prueba de
  alteraciones, otro pueden incluir teclados para
  la entrada de un PIN.
• Existen más de una clase de token de
  autenticación, tenemos los bien conocidos
  generadores de contraseñas dinámicas "OTP" y la
  que comúnmente denominamos tokens USB, los cuales
  no solo permiten almacenar passwords y
  certificados, sino que permiten llevar la
  identidad digital de la persona.

44
Herramientas de Autenticación
Mobile Token o Token Celular

• Token de autenticación movil.
• Solución de Seguridad Robusta y Accesible con
  amplia distribución.
• Concebido para sustituir los actuales
  dispositivos de hardware y tarjetas existentes en
  el mercado.
• Ofrece la misma facilidad y el mismo nivel de
  seguridad
• Para ser ejecutado en los celulares y PDAs
  remotos de los usuarios finales de las
  instituciones, con bajo costo y gran facilidad de
  distribución.
• Puede ser utilizado como mecanismo adicional de
  seguridad en aplicaciones de Banking (Internet
  Banking, retiros en ATMs, etc.) así como en
  aplicaciones genéricas de comercio electrónico
  que requieren señas de una única utilización -
  One Time Passwords.
• Disponibles para las tecnologías BREW (CDMA),
  J2ME (GSM/CMDA), WindowsMobile (GSM/CDMA),
  JavaCard y SIM Browsing, el ES Mobile Token es
  ideal para su distribución entre los usuarios
  finales - over the air (OTA) o a través del SIM
  Cards - utilizando cualesquiera de las Operadoras
  de Telefonía Móvil del país y aumentando
  significativamente la seguridad de sus
  aplicativos remotos.
• Técnicas en Criptografía de última generación.

45
Herramientas de Autenticación
Beneficios
46
Herramientas de Autenticación
Conceptos de Seguridad Digital

• Autenticación.- Proceso de validación de la
  identidad de un usuario final para asegurar que
  es quien dice ser. El método mas común es usando
  un nombre y un password, pero...

• .....aun por tan fuerte que sea el password, este
  puede ser robado y ser usado sin aviso al
  legítimo propietario.

47
Herramientas de Autenticación
Seguridad Biométrica

• Password Biomertrico
• Utiliza el patrón de conducta de tipeo sobre el
  teclado para identificar al usuario.
• Cada persona posee su propia y única cadencia de
  tipeo sobre las teclas teclado.
• Posee un 99,7 por ciento de efectividad.
• La biometría es una solución de fácil aplicación,
  menor costo y alta seguridad.
• Opera a partir de la captura y comparación de un
  patrón de conducta del usuario sobre el teclado,
  garantizando su funcionamiento simultáneo y
  complementario a otros desarrollos destinados a
  la seguridad informática y sin modificar los
  hábitos del usuario.
• No conlleva la instalación de hardware adicional
  sobre los existentes, de modo que su
  implementación no implica costos adicionales.

48
Herramientas de Autenticación
Seguridad Biométrica
49
Muchas Gracias